Especialistas em segurança cibernética descobriram recentemente um pacote malicioso no repositório Python Package Index (PyPI), que falsamente se apresenta como uma biblioteca da plataforma de blockchain Solana. Em vez de oferecer funcionalidade legítima, o pacote é projetado para roubar informações confidenciais das vítimas.
O pesquisador da Sonatype Ax Sharma destacou o problema, observando que, embora a API Python oficial do Solana seja chamada de “solana-py” no GitHub, ela é listada simplesmente como “solana“ no PyPI. Essa pequena variação de nomenclatura foi explorada por um agente de ameaça que lançou um pacote “solana-py” no PyPI.
Desde seu lançamento em 4 de agosto de 2024, o pacote malicioso “solana-py” foi baixado 1.122 vezes. Desde então, ele foi removido do PyPI.
Uma tática importante usada pelo invasor foi atribuir números de versão 0.34.3, 0.34.4 e 0.34.5 à biblioteca maliciosa, muito parecida com a versão mais recente do pacote “solana” legítimo, 0.34.3. Isso foi claramente uma tentativa de enganar os usuários para que baixassem “solana-py” em vez do “solana” genuíno.
Além disso, o pacote desonesto replica o código legítimo, mas inclui código malicioso adicional no script “init.py” para roubar as chaves da carteira de blockchain Solana.
Essas informações roubadas são então transmitidas para um domínio no Hugging Face Spaces (“treeprime-gen.hf[.]space“) controlado pelo agente da ameaça, demonstrando como serviços legítimos estão sendo usados indevidamente para fins maliciosos.
A campanha representa um risco na cadeia de suprimentos, já que a Sonatype investigação revelou que bibliotecas legítimas como “solders” referenciavam “solana-py” em sua documentação PyPI, potencialmente levando os desenvolvedores a, sem saber, baixar o pacote malicioso e, assim, expandir a superfície de ataque.
Sharma explicou que os desenvolvedores que usam o pacote legítimo “solders” podem ser enganados pela documentação e inadvertidamente introduzir o código de roubo de criptografia em seus aplicativos, comprometendo seus segredos e os de seus usuários.
Esta divulgação segue um relatório do Phylum que identificou centenas de milhares de pacotes npm de spam abusando do protocolo Tea, um problema exposto pela primeira vez em abril de 2024. O projeto do protocolo Tea e o npm estão tomando medidas para resolver o problema, embora a taxa de remoção de pacotes de spam ainda esteja atrás da taxa de novas publicações.
Fonte: TheHackerNews
