Los investigadores de ciberseguridad encontraron un paquete malicioso en el repositorio del Índice de Paquetes de Python (PyPI) que se hace pasar por una biblioteca de la plataforma blockchain Solana. Este paquete está diseñado para robar secretos de las víctimas.
El proyecto legítimo de la API de Python de Solana es conocido como ‘solana-py‘ en GitHub, pero simplemente ‘solana’ en el registro de software Python, PyPI. Según el informe de Sonatype, el paquete malicioso «solana-py» atrajo un total de 1,122 descargas desde su publicación el 4 de agosto de 2024 y ya no está disponible en PyPI.
El paquete malicioso llevaba los números de versión 0.34.3, 0.34.4 y 0.34.5, lo que indica un intento de engañar a los usuarios que buscan «solana» para que descarguen inadvertidamente «solana-py» en su lugar. Utilizaba el código real de su homólogo, pero inyectaba código adicional para recolectar claves de las carteras de la blockchain de Solana del sistema. Toda esta información se extraía a un dominio operado por el actor malicioso.
La investigación señala que los actores de amenazas están abusando de servicios legítimos con fines maliciosos. Además, bibliotecas legítimas como «solders» hacen referencia a «solana-py» en su documentación de PyPI, lo que amplía la superficie de ataque.
Phylum también identificó cientos de miles de paquetes de spam en el registro npm que contienen marcadores de abuso del protocolo Tea, una campaña que salió a la luz por primera vez en abril de 2024. La firma recomendó tomar medidas para remediar este problema y afirmó que npm ha comenzado a eliminar a algunos de estos spammers, pero la tasa de eliminación no coincide con la tasa de publicación de nuevos paquetes.
Vía The Hacker News
