Более 1,000 пользователей скачали пакет PyPI, который крадет приватные ключи криптовалют

Был обнаружен вредоносный пакет Python под названием «set-utils», который ворует приватные ключи Ethereum, перехватывая функции создания кошелька.

Пакет, имитирующий легитимные утилиты Python, был загружен в Индекс пакетов Python (PyPI) 29 января 2025 года и был скачан более 1 000 раз до его обнаружения. Исследователи в области безопасности из компании Socket раскрыли эту атаку и сообщили о своих выводах.

Притворившись простым инструментом для работы с наборами в Python, set-utils обманул разработчиков, уговорив их установить его. Однако, как только его начали использовать, он тихо украл приватные ключи Ethereum и передал их злоумышленникам через блокчейн Polygon.

Такой метод делает атаку трудной для обнаружения, поскольку большинство инструментов кибербезопасности отслеживают традиционный сетевой трафик, но не помечают транзакции блокчейна как подозрительные.

Атака была специально направлена на разработчиков блокчейна, проекты децентрализованного финансирования (DeFi), криптобиржи, приложения Web3, а также на отдельных пользователей, использующих скрипты Python для управления кошельками Ethereum.

Пакет перехватывал функции создания кошелька в библиотеках на Python, таких как eth-account, и извлекал приватные ключи в фоновом режиме. Затем эти ключи шифровались с использованием открытого ключа RSA, контролируемого злоумышленником, и отправлялись в сеть Polygon через конечную точку RPC, что позволяло эффективно скрывать данные в транзакциях Ethereum.

В отличие от обычных фишинговых атак или вредоносного ПО, этот метод обходит обычные защитные меры кибербезопасности. Поскольку транзакции Ethereum являются неотменяемыми, злоумышленники могут получить доступ к украденным ключам в любое время.

Даже если пользователь удалит пакет, его кошельки остаются скомпрометированными. Любые аккаунты Ethereum, созданные во время активности set-utils, следует считать небезопасными, и пользователям настоятельно рекомендуется немедленно перевести свои средства на новый, безопасный кошелек.

Еще одной скрытой особенностью атаки была ее способность изменять стандартные функции создания кошелька без заметок со стороны пользователя. Вредоносный код обертывался вокруг обычных функций создания аккаунта Ethereum, работая в фоновом режиме, пока пользователь продолжал свою работу. Это гарантировало, что у каждого нового кошелька был украден приватный ключ.

После его обнаружения, set-utils был удален из PyPI, но риск остается для тех, кто установил его до момента его удаления. Эксперты по безопасности советуют проверять среды Python на наличие этого пакета и сканировать на предмет любого несанкционированного доступа к кошельку.

Данный инцидент акцентирует внимание на растущей угрозе атак на цепочку поставок в экосистеме открытого исходного кода, где вредоносное программное обеспечение маскируется под полезные инструменты, ставя под угрозу разработчиков и их проекты.