Socket’in Tehdit Araştırma Ekibi tarafından ürpertici bir keşif, Python Paket Endeksine (PYPI), “Cappership” takma adını kullanan bir tehdit aktörü tarafından düzenlenen titizlikle hazırlanmış bir tedarik zinciri saldırısı açığa çıkardı.
Saldırı, adlı kötü niyetli bir paketten yararlanıyor semantik türler Özellikle Solana blockchain geliştiricilerini hedefleyen gizli bir anahtar çalma yükü dağıtmak için.
Zaten altı ima edilen pakette 25.900’den fazla indirme görmüş olan bu kampanya, özel anahtarları sessizce soktu, geliştirici ortamları ve CI/CD boru hatları için ciddi bir risk oluşturan bir arka kapı yer alıyor.
.png
)
Raporlama sırasında, bu paketler kaldırma çabalarına rağmen PYPI’da canlı olarak kalır.
Sofistike kötü amaçlı yazılım hedefleri blockchain geliştiricileri
Bu saldırının çekirdeği, kötü niyetli yük için dağıtım mekanizması olarak hizmet veren bir paket olan semantik tiplerde yatmaktadır.
Diğer beş paket Solana-Keypair, Solana-Publickey, Solana-Mev-Agent-Py, Solana ticaret bot ve soltrade semantik tiplere bağlı olarak, bu kütüphanelerden herhangi biri için tek bir PIP kurulum komutunun gizli kötü amaçlı yazılımları otomatik olarak çekip yürütmesini sağlar.
Yüklendikten sonra, yük, Solana anahtar nesil yöntemlerini değiştirmek için dinamik bir python tekniği olan Monkey Patching’i kullanır. lehimler Çalışma zamanında kütüphane.
Bu, kötü amaçlı yazılımların, orijinal kaynak kodunu değiştirmeden oluşturma sırasında özel anahtarları kesmesini sağlar.
Çalınan anahtarlar daha sonra, Base64’te kodlanmış ve içine yerleştirilmiş, sert kodlanmış bir RSA-2048 genel anahtarıyla şifrelenir. Spl.Memo Tehdit oyuncusu tarafından almak için Solana Devnet’teki işlemler.
Blockchain’in bir pesfiltrasyon kanalı olarak bu yenilikçi kullanımı, trafik rutin cüzdan aktivitesi olarak göründüğü için geleneksel ağ savunmalarını atlar ve algılamayı olağanüstü zorlayıcı hale getirir.
Geçişli bağımlılıklar yoluyla gizli pespiltrasyon
Soket raporuna göre, tehdit oyuncusu sofistike, teknik yürütmenin ötesine sosyal mühendisliğe kadar uzanıyor.
Cilalı ReadMe dosyaları, meşru yığın taşma yayınlarına stratejik bağlantılar ve güvenilir Solana takım adlarının taklit edilmesi, şüpheli geliştiricileri bu paketleri benimsemeye teşvik ederek güvenilirlik yanılsaması yaratır.
Kampanya zaman çizelgesi kasıtlı bir strateji ortaya koyuyor: semantik türler ve Aralık 2024’teki ilgili paketler, yalnızca 26 Ocak 2025’ten itibaren yükü tanıtmak için, Şubat ayı başlarına kadar ek bültenlerle saldırının erişimini genişletmesi için kötü amaçlı güncellemeler için güven oluşturdu.
Bu gecikmiş yük teslimi, geçişli bağımlılıklarla birleştiğinde, şüpheyi en aza indirirken etkiyi en üst düzeye çıkarmak için hesaplanmış bir çabanın altını çizmektedir.
Bu paketleri 26 Şubat 2025 sonrası yükleyen geliştiriciler, etkilenen sistemlerdeki tüm Solana özel anahtarlarının tehlikeye atıldığını varsaymalıdır.
Pessfiltration’ın zincirli doğası, tarihi anahtarların, cüzdanlar Mainnet’te aktif olduğunda fonları boşaltmak için saldırgan tarafından tekrar oynatılabileceği anlamına gelir.
Güvenlik önerileri arasında derin bağımlılık denetimi, daha katı CI/CD kontrolleri ve yetkisiz kriptografik işlemler gibi şüpheli çalışma zamanı davranışları için sürekli tarama bulunmaktadır.
Socket’in GitHub uygulaması ve tarayıcı uzantısı gibi araçlar, paket yüklemeleri sırasında gizli yürütme yollarının algılanmasına yardımcı olabilir.
Uzlaşma Göstergeleri (IOCS)
| Kategori | Detaylar |
|---|---|
| Kötü niyetli pypi paketleri | Anlamsal tipler, Solana-Keyap, Solana-Publickey, Solana-Mev-Agent-Py, Solana Ticaret Bot, Soltrade |
| Tehdit Oyuncu Tanımlayıcıları | CapPership (Pypi Takma adı), Cappership@Proton[.]Me (e -posta), D782ZQWJGSVY4HQOQZY1YSRGROTNXM1SUJEXFUR8SAKO (Solana Public Anahtar) |
| RSA genel anahtar parmak izi | 5A4D8480C9D1E82BA102F20025882FB9E694E8FC0343B6982C5540BECCDCA62 (SHA-256) |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!