اكتشف باحثو الأمن السيبراني حزمة Python خبيثة على مستودع Python Package Index (PyPI)، مصممة لسرقة مفاتيح Ethereum الخاصة من الضحايا عن طريق انتحال صفة مكتبات برمجية شهيرة.
الحزمة المعنية تُدعى set-utils، والتي تم تنزيلها 1,077 مرة حتى الآن. ولم تعد متاحة للتنزيل من السجل الرسمي.
وقالت شركة أمن سلسلة توريد البرمجيات “Socket”: “تم تمويه الحزمة على أنها أداة بسيطة لمعالجة مجموعات البيانات في Python، حيث تقلد مكتبات واسعة الاستخدام مثل python-utils (تم تنزيلها أكثر من 712 مليون مرة) وutils (تم تنزيلها أكثر من 23.5 مليون مرة).”
وأضافت: “هذا التمويه يخدع المطورين غير الحذرين لتنزيل الحزمة المخترقة، مما يمنح المهاجمين وصولًا غير مصرح به إلى محافظ Ethereum.”
استهداف مطوري Ethereum
تهدف الحزمة إلى استهداف مطوري Ethereum والمنظمات التي تعمل مع تطبيقات البلوكشين القائمة على Python، وخاصة مكتبات إدارة المحافظ مثل eth-account.
بالإضافة إلى تضمين مفتاح RSA العام الخاص بالمهاجم لتشفير البيانات المسروقة وحساب Ethereum مرسل تحت سيطرتهم، تقوم المكتبة بالتنصت على وظائف إنشاء المحافظ مثل from_key() و from_mnemonic() لاعتراض المفاتيح الخاصة أثناء إنشائها على الجهاز المخترق.
طريقة مبتكرة لسرقة البيانات
في تطور مثير للاهتمام، يتم نقل المفاتيح الخاصة عبر معاملات البلوكشين باستخدام نقطة نهاية Polygon RPC المسماة rpc-amoy.polygon.technology، في محاولة لمقاومة جهود الكشف التقليدية التي تراقب طلبات HTTP المشبوهة.
وقالت Socket: “هذا يضمن أنه حتى عندما ينشئ المستخدم حساب Ethereum بنجاح، يتم سرقة مفتاحه الخاص وإرساله إلى المهاجم.”
وأضافت: “تعمل الوظيفة الخبيثة في خلفية النظام كخيط منفصل (thread)، مما يجعل اكتشافها أكثر صعوبة.”
تأثيرات أوسع على الأمن السيبراني
يُظهر هذا الاكتشاف تطورًا في أساليب الهجمات السيبرانية التي تستهدف مجتمع العملات المشفرة، حيث يعتمد المهاجمون على تقنيات متقدمة لإخفاء أنشطتهم الخبيثة. يُنصح المطورون بفحص الحزم التي يقومون بتنزيلها بعناية، وتجنب استخدام المكتبات غير المعروفة أو غير الموثوقة.
كما يُوصى باستخدام أدوات أمنية متخصصة لفحص الحزم البرمجية قبل تنزيلها، والبقاء على اطلاع دائم بأحدث التهديدات الأمنية في مجال البلوكشين والعملات المشفرة.
