Paquete malicioso de PyPI roba claves privadas de Ethereum mediante transacciones RPC de Polygon

Un paquete malicioso de Python ha sido descubierto en el repositorio PyPI, con el propósito de robar las claves privadas de Ethereum de los desarrolladores mediante transacciones RPC de Polygon, según ha informado la empresa de seguridad Socket.

El paquete, denominado «set-utils», se encontraba disponible en PyPI, con un total de 1,077 descargas hasta su eliminación del registro oficial. Se presenta como una utilidad para trabajar con conjuntos de Python, pero en realidad simula bibliotecas populares como python-utils y utils, que cuentan con cientos de millones de descargas, engañando a los desarrolladores que confían en su reputación.

Socket ha advertido que este engaño está dirigido principalmente a desarrolladores de Ethereum y a organizaciones que crean aplicaciones basadas en blockchain utilizando Python, especialmente aquellas que emplean bibliotecas como eth-account para la gestión de carteras. El paquete malicioso logra interceptar las claves privadas de Ethereum a medida que se generan en las máquinas comprometidas, utilizando funciones de creación de carteras como «from_key()» y «from_mnewmonic()».

El ataque es más sofisticado debido a que las claves privadas robadas son exfiltradas en el contexto de transacciones de blockchain a través de un punto de acceso RPC de Polygon, denominado «rpc-amoy.polygon.technology». Esto dificulta la detección tradicional, ya que las transacciones de blockchain se monitorizan menos de cerca que las solicitudes HTTP convencionales. Esta táctica ayuda a eludir los métodos de detección que las empresas de ciberseguridad emplean para identificar solicitudes sospechosas.

Según Socket, incluso cuando un usuario crea una cuenta de Ethereum de manera legítima, el paquete malicioso se asegura de que su clave privada sea robada en el proceso y transmitida directamente a los atacantes. Este ataque se ejecuta en un hilo en segundo plano en el sistema de la víctima, lo que complica aún más su detección.

Este tipo de amenazas destaca la creciente necesidad de tener precauciones adicionales al utilizar bibliotecas de terceros en entornos de desarrollo, especialmente cuando se manejan activos valiosos como criptomonedas. Los desarrolladores deben ser conscientes de los riesgos asociados con el uso de paquetes aparentemente inofensivos y garantizar que sus entornos de desarrollo estén protegidos contra este tipo de ataques.