Investigadores de ciberseguridad han descubierto un nuevo paquete malicioso en el repositorio Python Package Index (PyPI) que se hace pasar por una biblioteca de la plataforma blockchain Solana pero que en realidad está diseñado para robar los secretos de las víctimas.
“El proyecto legítimo de la API de Solana Python se conoce como “solana-py” en GitHub, pero simplemente “solana«En el registro del software Python, PyPI», dijo Ax Sharma, investigador de Sonatype. dicho en un informe publicado la semana pasada. “Esta ligera diferencia de nombre fue explotada por un actor malintencionado que publicó un proyecto “solana-py” en PyPI. »
El paquete de malware «solana-py» atrajo a un total de 1.122 descargas desde su publicación el 4 de agosto de 2024. Ya no está disponible para descargar en PyPI.
El aspecto más llamativo de la biblioteca es que tenía los números de versión 0.34.3, 0.34.4 y 0.34.5. La última versión del paquete legítimo “solana” es 0.34.3. Esto indica claramente un intento por parte del actor malicioso de engañar a los usuarios que buscan «solana» para que descarguen sin darse cuenta «solana-py».
Además, el paquete malicioso toma prestado el código real de su contraparte, pero inyecta código adicional en el script «__init__.py» que es responsable de recopilar las claves de la billetera blockchain de Solana del sistema.
Luego, esta información se extrae a un dominio de Hugging Face Spaces operado por el actor de la amenaza (“treeprime-gen.hf”).[.]»espacio»), destacando una vez más cómo los actores de amenazas abusan servicios legítimos con fines maliciosos.
La campaña de ataque representa un riesgo para la cadena de suministro, ya que la investigación de Sonatype reveló que bibliotecas legítimas como «solders» hacen referencia a «solana-py» en sus Documentación PyPIlo que llevó a un escenario en el que los desarrolladores podrían haber descargado por error «solana-py» de PyPI y ampliado la superficie de ataque.
«En otras palabras, si un desarrollador que utiliza el paquete PyPI legítimo ‘soldaduras’ en su aplicación es engañado (por la documentación de soldaduras) y cae en la trampa del proyecto tipográfico ‘solana-py’, sin darse cuenta introduciría un ladrón de criptomonedas en su aplicación”, explicó Sharma.
“Esto robaría no sólo sus secretos, sino también los de cualquier usuario que ejecute la aplicación del desarrollador. »
Esta revelación se produce cuando Phylum dijo que había identificado cientos de miles de paquetes npm de spam en el registro que contienen marcadores de abuso del Protocolo Tea, una campaña que se reveló por primera vez en abril de 2024.
“El borrador del protocolo del té es tomar medidas para remediar este problema», la empresa de seguridad de la cadena de suministro dicho“Sería injusto que a los participantes legítimos en el Protocolo del Té se les redujera el salario porque otros están engañando al sistema. Además, npm comenzó a eliminar algunos de estos spammerspero la tasa de eliminación no coincide con la tasa de nuevas publicaciones. «
