【安全资讯】恶意Python包在PyPI上下载超千次，窃取以太坊私钥

概要：

近期，网络安全研究人员发现一个名为“set-utils”的恶意Python包在Python包索引（PyPI）上被下载超过1000次，该包通过拦截以太坊钱包创建功能窃取用户的私钥，并通过Polygon区块链进行数据外泄。这一事件引发了对开源软件供应链安全的广泛关注。

主要内容：

“set-utils”包伪装成Python的实用工具，模仿了下载量超过7.12亿的“python-utils”和2350万的“utils”。该恶意包自2025年1月29日提交至PyPI以来，已被下载超过1000次。研究人员指出，该攻击主要针对使用“eth-account”进行钱包创建和管理的区块链开发者，以及基于Python的DeFi项目和Web3应用。

该恶意包通过嵌入攻击者的RSA公钥来加密窃取的数据，并利用攻击者控制的以太坊发送账户进行数据外泄。它通过拦截标准的以太坊钱包创建函数，如“from_key()”和“from_mnewmonic()”，在用户生成私钥时进行窃取。窃取的私钥随后被加密，并嵌入到以太坊交易的数据字段中，通过Polygon RPC端点发送到攻击者的账户。

与传统的网络外泄方法相比，将窃取的数据嵌入以太坊交易的方式更加隐蔽，且难以与合法活动区分。防火墙和杀毒工具通常监控HTTP请求，而非区块链交易，因此这种方法不易引起警觉。虽然该包已从PyPI移除，但使用过的用户和开发者应立即卸载，并假设任何通过该包创建的以太坊钱包均已被攻破。