ReversingLabs研究团队发现了另一个针对加密货币生态系统的软件供应链攻击,这次涉及一个名为solana-token的流氓Python包。作为Solana开发人员的合法实用程序,该软件包在Python包索引(PyPI)上被发现,在删除之前已被下载超过600次。

Solana是一个受欢迎的区块链平台,以高速,低费用交易而闻名,继续吸引开发人员和威胁行为者的兴趣。malicious恶意的solana-toked包利用了这种受欢迎程度,伪装成开发人员在基于Solana的应用程序上的工具。

“虽然该软件包的PyPI着陆页没有包含描述,但包名称和功能表明,希望创建自己区块链的开发人员可能是目标,”ReversingLabs团队写道。

恶意软件包包含妥协的迹象,包括:

用于窃取被盗数据的硬编码IP地址非标准网络端口的出站通信读取本地文件的代码,在 infostealers 中经常看到的行为

包中一个特别阴险的方法“扫描了Python执行堆栈,然后将执行链中所有文件中包含的源代码复制和泄露到远程服务器。

目的是窃取开发人员的秘密和硬编码的加密凭据,这些凭证通常不在源代码中未受保护。informationattackers这种敏感信息可能会让攻击者未经授权访问加密货币钱包和关键基础设施。

这不是这个包名第一次浮出水面。事实上,之前的同名软件包在2024年发布并删除。但由于早期删除的方式 – 由软件包作者,而不是PyPI安全人员 – 名称再次可用。

“这使得软件包名称可用于重用……这表明相同的恶意行为者删除了早期的solana-token包可能是新的恶意版本的背后malicious,”报告指出。