网络安全研究人员在 Python 包索引 (PyPI) 存储库上发现了一个新的恶意包,该包伪装成 Solana 区块链平台的库,但实际上旨在窃取受害者的秘密。
“合法的 Solana Python API 项目在 GitHub 上被称为”solana-py“,但简称为”索拉纳 索拉纳在 Python 软件注册表 PyPI 上,“Sonatype 研究员 Ax Sharma说 说在上周发表的一份报告中。“这种微小的命名差异被一个威胁行为者利用了,他在 PyPI 上发布了一个’solana-py’项目。”
恶意的“solana-py”包共吸引了 1,122 下载 1,122次下载自 2024 年 8 月 4 日发布以来。它不再可从 PyPI 下载。
该库最引人注目的方面是它带有版本号 0.34.3、0.34.4 和 0.34.5。合法的“solana”包的最新版本是 0.34.3。这清楚地表明威胁行为者试图诱骗寻找“solana”的用户无意中下载“solana-py”。
更重要的是,流氓包从其对应物那里借用了真实代码,但在“__init__.py”脚本中注入了额外的代码,该脚本负责从系统中收集 Solana 区块链钱包密钥。
然后,此信息被泄露到 Hugging Face Spaces域名 拥抱面部空间域由威胁参与者操作 (“treeprime-gen.hf[.]空间“),再次强调了威胁行为者是如何滥用的合法服务 合法服务用于恶意目的。
该攻击活动带来了供应链风险,因为 Sonatype 的调查发现,像“焊料”这样的合法库在其中引用了“solana-py”PyPI 文档 PyPI留档,导致开发人员可能错误地从 PyPI 下载了“solana-py”并扩大了攻击面的情况。
“换句话说,如果开发人员在他们的应用程序中使用合法的’solders’PyPI包被误导(通过solders的文档)陷入拼写错误的’solana-py’项目,他们就会无意中在他们的应用程序中引入一个加密窃取器,”Sharma解释说。
“这不仅会窃取他们的秘密,还会窃取运行开发人员应用程序的任何用户的秘密。
Phylum 表示,它在注册表上发现了数十万个垃圾邮件 npm 包,其中包含 Tea 协议滥用的标记,该活动首次曝光 第一次曝光在2024年4月。
“茶叶协议项目是 采取措施 采取步骤为了解决这个问题,“供应链安全公司 说 说.“对于茶叶协议的合法参与者来说,因为其他人在欺骗该系统而减少他们的报酬是不公平的。此外,npm 已经开始删除其中一些垃圾邮件发送者 删除其中一些垃圾邮件发送者,但删除率与新的发布率不匹配。
发表评论
您还未登录,请先登录。
登录