Исследовательская группа Socket, специализирующаяся на выявлении современных киберугроз, обнаружила масштабную и тщательно спланированную атаку цепочки поставок на индекс пакетов Python (PyPI). Вредоносная кампания была инициирована субъектом под псевдонимом cappership и направлена на экосистему Solana, что может серьезно угрожать безопасности пользователей и разработчиков в блокчейн-пространстве.
Механизм атаки и задействованные пакеты
Суть инцидента заключается во внедрении вредоносной полезной нагрузки в пакет semantictypes, который затем формировал транзитивные зависимости с пятью другими пакетами:
- solana-keypair
- solana-publickey
- solana-mev-agent-py
- solana-trading-bot
- lock
Любая установка одного из этих пакетов приводила к загрузке и выполнению вредоносного кода из semantictypes. Это означает, что атака могла незаметно распространиться среди широкой аудитории пользователей, даже если они явно не устанавливали зараженный пакет напрямую.
Технические детали вредоносной активности
Вредоносное ПО использует сложные методы, включая генерацию криптографических ключей с автоматическим исправлением ошибок, характерных для Solana. Оно модифицирует функции во время выполнения (runtime patching) без изменения исходного кода, что затрудняет его обнаружение.
Главная цель злоумышленника — кража закрытых ключей:
- Каждый раз при создании пары ключей вредоносная программа перехватывает закрытый ключ;
- Данные шифруются с помощью RSA-2048;
- Зашифрованный ключ инкапсулируется в транзакцию spl.memo и отправляется в Solana Devnet;
- Злоумышленник может извлечь и расшифровать ключи для несанкционированного доступа к криптовалютным кошелькам;
- Вся операция остается незаметной для конечного пользователя и стандартных средств защиты.
Постепенное развитие и маскировка атаки
Присутствие вредоносного кода изначально тщательно скрывалось, а разработчики злоумышленника регулярно выпускали безопасные версии пакетов, укрепляя доверие сообщества. Лишь в январе 2025 года в обновления были добавлены новые вредоносные функции, что существенно расширило возможности атаки за счёт транзитивных зависимостей.
Кроме технологических механизмов, злоумышленник применял продвинутые методы социальной инженерии:
- Создание безупречных файлов README с подробной документацией;
- Ссылки на легитимные онлайн-ресурсы, такие как Stack Overflow и GitHub;
- Использование типичных проблем и вопросов разработчиков для повышения доверия;
- Таким образом повышалась достоверность и снижается подозрительность к вредоносным пакетам.
Соответствие MITRE ATT&CK и потенциальные риски
Атака соответствует нескольким ключевым тактикам и техникам, описанным в базе знаний MITRE ATT&CK:
- T1195.002 — компрометация цепочки поставок (Supply Chain Compromise);
- T1573.002 — использование асимметричной криптографии для зашифрованной связи (Encrypted Channel [Asymmetric Cryptography]);
- T1119 — автоматизированный сбор конфиденциальных данных (Automated Collection).
Данная комбинация атакующих методик подчеркивает серьёзную угрозу для среды разработки и CI/CD конвейеров в блокчейн-индустрии. Потеря контроля над закрытыми ключами и учетными данными способна привести к масштабным финансовым потерям и компрометации целых проектов.
Выводы и рекомендации
Данная атака демонстрирует необходимость усиления контроля за цепочками поставок в open-source экосистемах, особенно в контексте блокчейн-проектов. Внедрение механизмов проверки целостности пакетов, мониторинг подозрительной активности и осведомленность разработчиков — ключевые шаги для минимизации рисков.
Также важным является проведение регулярного аудита зависимостей и использование инструментов безопасности, способных выявлять нестандартное поведение во время установки и выполнения кода.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Атака на PyPI: Вредоносный пакет крадет ключи из экосистемы Solana".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.