Ciberataque na PyPI visa Ethereum
7 de Março de 2025

Pesquisadores de cibersegurança descobriram um pacote Python malicioso no repositório Python Package Index (PyPI) equipado para roubar as chaves privadas Ethereum de vítimas ao se passar por bibliotecas populares.

O pacote em questão é o set-utils, que já contabilizou 1.077 downloads até a data, mas que atualmente não está mais disponível para download no registro oficial.

"Disfarçado como uma simples utilidade para conjuntos Python, o pacote imita bibliotecas amplamente utilizadas como python-utils (mais de 712 milhões de downloads) e utils (mais de 23,5 milhões de downloads)", disse a empresa de segurança da cadeia de suprimentos de software, Socket.

Este engano induz desenvolvedores desavisados a instalar o pacote comprometido, concedendo aos atacantes acesso não autorizado às carteiras Ethereum.

O pacote visa mirar desenvolvedores Ethereum e organizações que trabalham com aplicações blockchain baseadas em Python, particularmente bibliotecas de gerenciamento de carteiras baseadas em Python, como a eth-account.

Além de incorporar a chave pública RSA do atacante a ser usada para criptografar os dados roubados e uma conta de remetente Ethereum sob seu controle, a biblioteca se conecta a funções de criação de carteiras como "from_key()" e "from_mnemonic()" para interceptar chaves privadas à medida que são geradas na máquina comprometida.

Em uma reviravolta interessante, as chaves privadas são exfiltradas dentro de transações blockchain por meio do endpoint RPC Polygon "rpc-amoy.polygon.technology", numa tentativa de resistir aos esforços de detecção tradicionais que monitoram por solicitações HTTP suspeitas.

"Isso garante que, mesmo quando um usuário cria com êxito uma conta Ethereum, sua chave privada é roubada e transmitida ao atacante", disse a Socket.

A função maliciosa é executada em uma thread em segundo plano, tornando a detecção ainda mais difícil.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...