Cybersecurityonderzoekers hebben een nieuw schadelijk pakket ontdekt in de Python Package Index (PyPI)-repository dat zich voordoet als een bibliotheek van het Solana-blockchainplatform, maar in werkelijkheid is ontworpen om geheimen van slachtoffers te stelen.
“Het legitieme Solana Python API-project staat bekend als ‘solana-py’ op GitHub, maar gewoon ‘solana’ in het Python-softwareregister, PyPI,” zei Sonatype-onderzoeker Ax Sharma in een vorige week gepubliceerd rapport. “Deze kleine discrepantie in de naamgeving is misbruikt door een bedreigingsactor die een ‘solana-py’-project op PyPI publiceerde.”
Het schadelijke “solana-py”-pakket is sinds de publicatie op 4 augustus 2024 in totaal 1.122 keer gedownload. Het is niet langer beschikbaar om te downloaden via PyPI.
Het meest opvallende aspect van de bibliotheek is dat het de versienummers 0.34.3, 0.34.4 en 0.34.5 droeg. De nieuwste versie van het legitieme “solana”-pakket is 0.34.3. Dit wijst duidelijk op een poging van de dreigingsactor om gebruikers die op zoek zijn naar “solana” te misleiden en in plaats daarvan onbedoeld “solana-py” te downloaden.
Bovendien leent het frauduleuze pakket de echte code van zijn tegenhanger, maar injecteert het extra code in het script “__init__.py” dat verantwoordelijk is voor het verzamelen van de sleutels van de Solana-blockchainwallet uit het systeem.
Deze informatie wordt vervolgens geëxfiltreerd naar een Hugging Face Spaces-domein dat wordt beheerd door de kwaadwillende actor (“treeprime-gen.hf(.)space”). Dit onderstreept nog maar eens hoe kwaadwillende actoren legitieme services misbruiken voor kwaadaardige doeleinden.
De aanvalscampagne vormt een risico voor de toeleveringsketen, omdat uit onderzoek van Sonatype is gebleken dat legitieme bibliotheken zoals “solders” verwijzen naar “solana-py” in hun PyPI-documentatie. Dit kan leiden tot een scenario waarin ontwikkelaars per ongeluk “solana-py” van PyPI hebben gedownload en zo het aanvalsoppervlak hebben vergroot.
“Met andere woorden, als een ontwikkelaar het legitieme ‘solders’ PyPI-pakket in zijn applicatie gebruikt en wordt misleid (door de documentatie van solders) en in het typosquatted ‘solana-py’-project trapt, introduceert hij onbedoeld een crypto-stealer in zijn applicatie”, legt Sharma uit.
“Hiermee stelen we niet alleen hun geheimen, maar ook die van elke gebruiker die de applicatie van de ontwikkelaar gebruikt.”
De onthulling komt nadat Phylum naar eigen zeggen honderdduizenden spam-npm-pakketten in het register heeft geïdentificeerd die markers bevatten van misbruik van het Tea-protocol. Deze campagne kwam voor het eerst aan het licht in april 2024.
“Het Tea protocol project onderneemt stappen om dit probleem te verhelpen,” aldus het beveiligingsbedrijf voor de toeleveringsketen. “Het zou oneerlijk zijn voor legitieme deelnemers aan het Tea protocol om hun beloning te laten verlagen omdat anderen het systeem oplichten. Bovendien is npm begonnen met het verwijderen van een aantal van deze spammers, maar het verwijderingspercentage komt niet overeen met het nieuwe publicatiepercentage.”