Oltre 1.000 utenti hanno scaricato un pacchetto PyPI che ha rubato le chiavi private di criptovaluta

È stato scoperto un pacchetto Python malevolo chiamato “set-utils” che ruba le chiavi private di Ethereum dirottando le funzioni di creazione del portafoglio.

Il pacchetto, che imita utilità Python legittime, è stato caricato sul Python Package Index (PyPI) il 29 gennaio 2025, ed era stato scaricato più di 1.000 volte prima della sua scoperta. I ricercatori di sicurezza di Socket hanno scoperto l’attacco e hanno riportato le loro scoperte.

Travestito da semplice strumento per lavorare con i set in Python, set-utils ha ingannato gli sviluppatori inducendoli a installarlo. Tuttavia, una volta in uso, ha rubato silenziosamente le chiavi private di Ethereum e le ha trasmesse agli aggressori attraverso la blockchain di Polygon.

Questo metodo rende l’attacco difficile da rilevare poiché la maggior parte degli strumenti di cybersecurity monitora il traffico di rete tradizionale ma non segnala le transazioni blockchain come sospette.

L’attacco ha preso di mira specificamente gli sviluppatori di blockchain, i progetti di finanza decentralizzata (DeFi), le borse di criptovalute, le applicazioni Web3 e gli individui che utilizzano script Python per gestire i portafogli Ethereum.

Il pacchetto ha intercettato le funzioni di creazione del portafoglio nelle librerie basate su Python, come eth-account, ed ha estratto le chiavi private in background. Queste chiavi sono state poi criptate utilizzando una chiave pubblica RSA controllata dall’attaccante e inviate alla rete Polygon attraverso un endpoint RPC, nascondendo efficacemente i dati nelle transazioni Ethereum.

A differenza degli attacchi di phishing convenzionali o dei malware, questo metodo elude le comuni difese della cybersecurity. Poiché le transazioni Ethereum sono permanenti, gli aggressori possono recuperare le chiavi rubate in qualsiasi momento.

Anche se un utente disinstalla il pacchetto, i suoi portafogli rimangono compromessi. Qualsiasi account Ethereum creato mentre set-utils era attivo dovrebbe essere considerato non sicuro, e si esorta gli utenti a trasferire i loro fondi in un nuovo portafoglio sicuro immediatamente.

Un’altra caratteristica furtiva dell’attacco era la sua capacità di modificare le funzioni standard di creazione del portafoglio senza che l’utente se ne accorgesse. Il codice malevolo si avvolgeva attorno alle normali funzioni di generazione dell’account Ethereum, funzionando in background mentre l’utente continuava a lavorare. Ciò garantiva che ogni portafoglio appena creato avesse la sua chiave privata rubata.

Dopo la sua scoperta, set-utils è stato rimosso da PyPI, ma il rischio rimane per chiunque lo abbia installato prima della rimozione. Gli esperti di sicurezza consigliano di controllare gli ambienti Python per il pacchetto e di eseguire la scansione per qualsiasi accesso non autorizzato al portafoglio.

L’incidente evidenzia la crescente minaccia degli attacchi alla catena di fornitura nell’ecosistema open-source, dove il software malevolo si traveste da strumenti utili, mettendo a rischio gli sviluppatori e i loro progetti.