أكثر من 1000 مستخدم قاموا بتحميل حزمة PyPI التي سرقت مفاتيح الكريبتو الخاصة

تم العثور على حزمة Python ضارة تُدعى “set-utils” تسرق مفاتيح Ethereum الخاصة عبر اختراق وظائف إنشاء المحفظة.

تم تحميل الحزمة، التي تحاكي أدوات Python الشرعية، إلى فهرس حزم Python (PyPI) في 29 يناير 2025، وتم تنزيلها أكثر من 1000 مرة قبل اكتشافها. كشف باحثو الأمان من Socket عن الهجوم وأبلغوا عن نتائجهم.

تنكرت كأداة بسيطة للعمل مع المجموعات في Python، خدعت set-utils المطورين لتثبيتها. ولكن بمجرد استخدامها، سرقت بصمت مفاتيح Ethereum الخاصة وأرسلتها إلى المهاجمين من خلال سلسلة الكتل Polygon.

يجعل هذا الأسلوب الهجوم صعب الكشف عنه حيث تراقب معظم أدوات الأمن السيبراني حركة الشبكة التقليديه فقط ولكنها لا تشير إلى معاملات سلسلة الكتل كمشبوهه.

هاجم الهجوم بشكل محدد مطوري البلوكشين، ومشاريع التمويل المُنظم (DeFi)، وبورصات العملات المشفرة، وتطبيقات Web3، والأفراد الذين يستخدمون نصوص Python لإدارة محافظ Ethereum.

اعترضت الحزمة وظائف إنشاء المحفظة في المكتبات القائمة على Python، مثل eth-account، واستخرجت المفاتيح الخاصة في الخلفية. ثم تم تشفير هذه المفاتيح باستخدام مفتاح RSA عام يتحكم فيه المهاجم وإرسالها إلى شبكة Polygon من خلال نقطة نهاية RPC، مما يخفي البيانات بشكل فعال في معاملات Ethereum.

على عكس هجمات الاصطياد التقليدية أو البرمجيات الخبيثة، يتجاوز هذا الأسلوب الدفاعات الأمنية السيبرانية الشائعة. بما أن معاملات Ethereum دائمة، يمكن للمهاجمين استرداد المفاتيح المسروقة في أي وقت.

حتى إذا قام المستخدم بإلغاء تثبيت الحزمة، تظل محافظهم مخترقة. يجب اعتبار أي حسابات Ethereum تم إنشاؤها أثناء نشاط set-utils غير آمنة، ويتم حث المستخدمين على نقل أموالهم إلى محفظة جديدة وآمنة فورا.

ميزة خفية أخرى للهجوم كانت قدرته على تعديل وظائف إنشاء المحفظة القياسية دون أن يلاحظ المستخدم. تم تغليف الكود الخبيث حول وظائف إنشاء حساب Ethereum العادية، وكان يعمل في الخلفية بينما كان المستخدم يواصل العمل. ضمن ذلك أن تم سرقة المفتاح الخاص لكل محفظة تم إنشاؤها حديثًا.

بعد اكتشافه، تمت إزالة set-utils من PyPI، ولكن المخاطر ما زالت قائمة لأي شخص قام بتثبيتها قبل الإزالة. ينصح خبراء الأمن بفحص بيئات Python للبحث عن الحزمة والتحقق من وجود أي وصول غير مصرح به للمحفظة.

تسلط الحادثة الضوء على التهديد المتزايد لهجمات سلسلة التوريد في نظام البرمجيات مفتوحة المصدر، حيث يتم التنكر للبرامج الخبيثة على أنها أدوات مفيدة، مما يعرض المطورين ومشاريعهم للخطر.