Hamisított PyPI csomag

Editors' Pick

A ReversingLabs kutatói egy új, rosszindulatú Python-csomagot azonosítottak a PyPI-n, amely a solana-token nevet viseli, és kifejezetten a Solana blokklánc fejlesztőit célozza meg. Ez a csomag a Solana ökoszisztémában való fejlesztéshez hasznos eszköznek álcázza magát, azonban valójában a fejlesztők gépein található forráskódokat és érzékeny adatokat próbálja megszerezni, majd egy előre meghatározott IP-címre továbbítani.

A solana-token csomag különösen megtévesztő, mivel korábban már létezett egy azonos nevű, szintén rosszindulatú csomag, amelyet eltávolítottak a PyPI-ról. Az újabb verziók (0.0.1 és 0.0.2) azonban ismét megjelentek, kihasználva azt a tényt, hogy az előző csomagot nem a PyPI adminisztrátorai, hanem maga a szerző távolította el, így a név újra felhasználhatóvá vált. Ez arra utalhat, hogy ugyanazok a rosszindulatú szereplők állhatnak mindkét csomag mögött.

A csomag működése során futtatást hajt végre, majd az ott található forráskódokat és potenciálisan érzékeny információkat másolja és továbbítja egy távoli szerverre. Ez a módszer lehetővé teszi a támadók számára, hogy hozzáférjenek a fejlesztők által használt kriptográfiai kulcsokhoz és egyéb bizalmas adatokhoz, amelyek gyakran a forráskódban találhatók.

A ReversingLabs szerint ez a támadás része annak a növekvő trendnek, amelyben a kriptovaluta-projekteket célzó ellátási lánc támadások egyre gyakoribbá válnak. A 2025-ös jelentésük szerint 2024-ben legalább 23 különböző kampányt azonosítottak, amelyek célja a kriptovaluta-alkalmazások és infrastruktúrák kompromittálása volt.

A solana-token csomagot több mint 600 alkalommal töltötték le, mielőtt a PyPI eltávolította volna. Ez a szám arra utal, hogy a támadók sikeresen terjesztették a csomagot fejlesztői platformokon keresztül.

FORRÁS