Хакери розповсюджують шкідливий пакет Python, який обкрадає Ethereum-гаманці розробників

Команда Socket Research виявила в каталозі PyPI шкідливий пакет Python під назвою set-utils. Він призначений для викрадення приватних ключів Ethereum шляхом використання функцій створення облікових записів, інформує блог компанії Socket. 

Замаскований під просту утиліту для наборів Python, пакет імітує такі широко використовувані бібліотеки, як python-utils (712 млн.+ завантажень) і utils (23,5 млн.+ завантажень). Цей обман змушує нічого не підозрюючих розробників установити скомпрометований пакет. У підсумку це надає зловмисникам неавторизований доступ до гаманців Ethereum.

З 29 січня 2025 року set-utils завантажили понад 1000 разів. Пакет спеціально націлений на тих, хто активно працює з технологією блокчейн, зокрема на розробників, які використовують бібліотеки керування гаманцями на основі Python, такі як eth-account. Перехоплюючи створення облікового запису Ethereum, пакет викрадає приватні ключі, що врешті призводить до втрати криптовалютних активів.

Викрадення приватних ключів відбувається через зловживання кінцевою точкою Polygon RPC як сервером Command and Control (C2). Цей метод дозволяє зловмисникам непомітно витягувати вкрадені облікові дані через транзакції блокчейну.

Атака в першу чергу спрямована на тих, хто використовує «eth-account» для створення гаманця та керування ним. Це можуть бути не тільки пересічні користувачі, але й проекти DeFi, які покладаються на сценарії Python для створення облікових записів, або навіть криптобіржі чи програми Web3, в яких інтегровані транзакції Ethereum.

Фахівці Socket Research вже повідомили про шкідливий пакет команді PyPI, яка негайно його видалила з каталогу пакетів Python.