Los investigadores de ciberseguridad han descubierto un paquete malicioso en el repositorio de Python Package Index (PYPI) que pretende ser una aplicación relacionada con la cadena de bloques Solana, pero contiene funcionalidad maliciosa para robar el código fuente y los secretos del desarrollador.
El paquete, llamado Solana-Token, ya no está disponible para descargar desde Pypi, pero no antes de que fuera descargado 761 veces. Fue Primero publicado a PYPI a principios de abril de 2024, aunque con un esquema de numeración de versión completamente diferente.
«Cuando se instala, el paquete malicioso intenta exfiltrar el código fuente y los secretos del desarrollador de la máquina del desarrollador a una dirección IP codificada», el investigador de reversinglabs Karlo Zanki dicho En un informe compartido con The Hacker News.
En particular, el paquete está diseñado para copiar y exfiltrar el código fuente contenido en todos los archivos en la pila de ejecución de Python bajo la disfraz de una función blockchain llamada «registro_node ()».
Este comportamiento inusual sugiere que los atacantes están buscando exfiltrarse de secretos criptográficos sensibles que pueden estar codificados en las primeras etapas de escribir un programa que incorpora la función maliciosa en cuestión.
Se cree que los desarrolladores que buscan crear sus propias cadenas de bloques eran los objetivos probables de los actores de amenaza detrás del paquete. Esta evaluación se basa en el nombre del paquete y las funciones integradas en él.
Actualmente no se conoce el método exacto por el cual el paquete puede haberse distribuido a los usuarios, aunque es probable que se haya promovido en plataformas centradas en el desarrollador.
En todo caso, el descubrimiento subraya el hecho de que la criptomoneda sigue siendo uno de los objetivos más populares para los actores de amenaza de la cadena de suministro, lo que requiere que los desarrolladores tomen medidas para analizar cada paquete antes de usarlo.
«Los equipos de desarrollo deben monitorear agresivamente actividades sospechosas o cambios inexplicables tanto en módulos de software de código abierto y comercial de terceros», dijo Zanki. «Al detener el código malicioso antes de que se le permita penetrar entornos de desarrollo seguros, los equipos pueden prevenir el tipo de ataques destructivos de la cadena de suministro».
