set-utils” という悪意のあるPython Package Index (PyPI) パッケージが、ウォレット作成関数を傍受してイーサリアムの秘密鍵を盗み出し、Polygonブロックチェーン経由で流出している。
このパッケージはPython用のユーティリティを装っており、7億1200万ダウンロードを超える人気の “python-utils “や2350万インストールを数える “utils “を模倣している。
開発者向けサイバーセキュリティ・プラットフォームSocketの研究者がこの悪意のあるパッケージを発見し、2025年1月29日にPyPIに投稿されて以来、set-utilsが1000回以上ダウンロードされていることを報告した。
オープンソースのサプライチェーンセキュリティ企業は、この攻撃は主に、ウォレットの作成と管理に「eth-account」を利用するブロックチェーン開発者、PythonベースのDeFiプロジェクト、イーサリアムをサポートするWeb3アプリ、Pythonの自動化を利用する個人ウォレットを標的にしていると報告している。
Source:ソケット
この悪意のあるパッケージは暗号通貨プロジェクトを標的としているため、ダウンロード数がわずか1000件であったとしても、ウォレットを生成するためにアプリケーションを使用していたはるかに多くの人々に影響を与える可能性があります。
ステルス的なイーサリアム鍵の盗難
悪意のあるset-utilsパッケージには、攻撃者のRSA公開鍵が埋め込まれ、盗まれたデータと攻撃者が管理するイーサリアムの送信者アカウントの暗号化に使用される。
このパッケージは、’from_key()’や’from_mnewmonic()’といったイーサリアムの標準的なウォレット作成関数をフックして、侵害されたマシン上で生成される秘密鍵を傍受します。
そして盗んだ秘密鍵を暗号化し、Polygon RPCエンドポイント “rpc-amoy.polygon.technology/”を介して攻撃者のアカウントに送信される前に、イーサリアム取引のデータフィールドに埋め込む。
Source:ソケット
従来のネットワーク流出手法と比較すると、イーサリアムのトランザクションに盗まれたデータを埋め込むことは、はるかにステルス性が高く、正当な活動と区別することが困難です。
ファイアウォールやウイルス対策ツールは通常、HTTPリクエストを監視しますが、ブロックチェーントランザクションは監視しません。
また、Polygonトランザクションは処理手数料が非常に低く、少額のトランザクションにはレート制限が適用されず、無料のパブリックRPCエンドポイントを提供しているため、脅威行為者は独自のインフラを構築する必要がない。
いったん流出処理が行われると、盗まれた情報はブロックチェーン上に永久に保存されるため、攻撃者はいつでも盗まれたデータを取り出すことができる。
set-utilsパッケージは発見後、PyPIから削除された。しかし、このパッケージをプロジェクトに組み込んでいるユーザーやソフトウェア開発者は直ちにアンインストールし、作成されたイーサリアムのウォレットはすべて危険にさらされていると考えるべきである。
当該ウォレットに資金が入っている場合は、いつ盗まれるかわからない危険性があるため、できるだけ早く別のウォレットに移すことを推奨する。
Comments