Un package Python Package Index (PyPI) malveillant nommé « setutils » a volé des clés privées Ethereum via des fonctions de création de portefeuille interceptées et les a exfiltrées via la blockchain Polygon.
Le package se déguise en utilitaire pour Python, imitant le populaire « python-utils », qui compte plus de 712 millions de téléchargements, et « utils », qui compte plus de 23,5 millions d’installations.
Des chercheurs du développeur de la plate-forme de cybersécurité Socket ont découvert le package malveillant et ont signalé que set-utils avait été téléchargé plus d’un millier de fois depuis sa soumission sur PyPI le 29 janvier 2025.
La société de sécurité de la chaîne d’approvisionnement open source rapporte que les attaques ciblent principalement les développeurs de chaînes de blocs utilisant un « compte eth » pour la création et la gestion de portefeuilles, des projets DeFi basés sur Python, des applications Web3 prenant en charge Ethereum et des portefeuilles personnels utilisant l’automatisation Python.
Comme le package malveillant cible les projets de crypto-monnaie, même s’il n’y a eu qu’un millier de téléchargements, cela pourrait avoir un impact sur un nombre beaucoup plus important de personnes qui ont utilisé les applications pour générer des portefeuilles.
Vol furtif de clés Ethereum
Le package malveillant set-utils incorpore la clé publique RSA de l’attaquant à utiliser pour chiffrer les données volées et un compte d’expéditeur Ethereum contrôlé par l’attaquant.
Le package s’accroche aux fonctions de création de portefeuille Ethereum standard telles que « from_key () » et « from_mnemonic () » pour intercepter les clés privées lorsqu’elles sont générées sur la machine compromise.
Il chiffre ensuite la clé privée volée et l’incorpore dans le champ de données d’une transaction Ethereum avant qu’elle ne soit envoyée au compte de l’attaquant via le point de terminaison Polygon RPC « rpc-amoy.polygone.technologie/. »
Par rapport aux méthodes traditionnelles d’exfiltration de réseau, l’intégration de données volées dans les transactions Ethereum est beaucoup plus furtive et plus difficile à distinguer d’une activité légitime.
Les pare-feu et les outils antivirus surveillent généralement les requêtes HTTP mais pas les transactions blockchain, il est donc peu probable que cette méthode déclenche des drapeaux ou soit bloquée.
De plus, les transactions Polygon ont des frais de traitement très bas, aucune limitation de taux ne s’applique aux petites transactions et offrent des points de terminaison RPC publics gratuits, de sorte que les acteurs de la menace n’ont pas besoin de configurer leur propre infrastructure.
Une fois le processus d’exfiltration terminé, l’attaquant peut récupérer les données volées à tout moment, car les informations volées sont stockées en permanence sur la blockchain.
Le paquet set-utils a été supprimé de PyPI après sa découverte. Cependant, les utilisateurs et les développeurs de logiciels qui l’ont incorporé dans leurs projets doivent le désinstaller immédiatement et supposer que tous les portefeuilles Ethereum créés sont compromis.
Si lesdits portefeuilles contiennent des fonds, il est recommandé de les déplacer vers un autre portefeuille dès que possible, car ils risquent d’être volés à tout moment.