Soket araştırma ekibinin yakın tarihli bir keşfi, yaygın olarak kullanılan hesap oluşturma işlevlerinden yararlanarak Ethereum özel anahtarlarını çalmak için tasarlanmış Set-Utils adlı kötü niyetli bir PYPI paketini tanıttı.
Bu paket, Python-Utils ve Utils gibi popüler kütüphaneleri taklit eden Python setleri için bir hizmet olarak maskelenir, böylece geliştiricileri yüklemeye kandırır.
Serbest bırakılmasından bu yana Set-Utils, Ethereum kullanıcıları ve geliştiricileri için önemli bir risk oluşturmaktadır.
Etki ve Hedefler
Bu saldırının temel hedefleri arasında Python tabanlı blockchain uygulamalarını kullanan Ethereum geliştiricileri ve kuruluşlar yer alıyor.
Bunlar, cüzdan yönetimi için ETH-Account kullanan blockchain geliştiricilerini kapsarlar, DEFI projeleri hesap üretimi için Python komut dosyalarına dayanan, kripto borsaları ve Ethereum işlemlerini entegre eden Web3 uygulamaları.
Python otomasyonu yoluyla kişisel ethereum cüzdanlarını yöneten bireyler de risk altındadır.
Saldırı sessizce standart cüzdan oluşturma yöntemlerine bağlanır ve algılamayı zorlaştırır.
Bir cüzdan tehlikeye atıldıktan sonra, set-UTIL’ler bile, paket aktifken oluşturulan herhangi bir cüzdan savunmasız kaldığı için pozlamayı azaltmaz.
Teknik analiz
Kötü amaçlı kod üç aşamada çalışır. Başlangıçta, çalıntı özel anahtarları şifrelemek ve iletmek için kullanılan saldırgan kontrollü bir RSA genel anahtarı ve Ethereum cüzdan adresi yerleştirir.
Çekirdek işlevi, Inculmit (), özel anahtarı şifreler ve bir komuta ve kontrol (C2) sunucusu olarak hareket eden çokgen RPC uç noktası rpc-amoy.polygon.technology aracılığıyla bir Ethereum işlemine gönderir.
Soket raporuna göre, bu yöntem blockchain işlemleri içinde çalınan verileri gizleyerek algılamayı zorlaştırır.
Paket ayrıca Ethereum hesap oluşturma işlevlerini de değiştirerek başarılı hesap oluşturmalarının bile özel anahtar hırsızlığına neden olmasını sağlıyor.
Bu modifikasyonlar arka plan dişlerinde çalışır ve tespit çabalarını daha da karmaşıklaştırır.
Bu riskleri azaltmak için, geliştiriciler ve kuruluşlar düzenli bağımlılık denetimleri uygulamalı ve üçüncü taraf paketlerdeki kötü niyetli davranışları tanımlamak için otomatik tarama araçlarını kullanmalıdır.
Socket’in Ücretsiz GitHub uygulaması gibi araçlar, çekme isteklerini gerçek zamanlı olarak izleyebilir ve şüpheli paketleri üretim ortamlarına birleştirilmeden önce işaretleyebilir.
Ek olarak, soket CLI ve tarayıcı uzantısı gibi güvenlik önlemlerinin entegre edilmesi, tarama etkinliğini analiz ederek ve kullanıcıları potansiyel tehditlere uyararak anında koruma sağlayabilir.
PYPI ekibi bilgilendirildi ve daha fazla saldırıyı önlemek için SET-UTILS kaldırıldı.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free