悪質なPyPIライブラリがSolanaユーザーを狙い、ブロックチェーンウォレットのキーを盗む

サイバーセキュリティ研究者たちは、Pythonパッケージインデックス（PyPI）リポジトリに新たな悪質なパッケージを発見しました。このパッケージはSolanaブロックチェーンプラットフォームのライブラリを装っていますが、実際には被害者の秘密を盗むために設計されています。

「正当なSolana Python APIプロジェクトはGitHubでは’ solana-py’として知られていますが、PythonソフトウェアレジストリであるPyPIでは単に’solana’と呼ばれています」とSonatypeの研究者Ax Sharmaは先週発表された報告書で述べました。「このわずかな名前の違いが、PyPIに’solana-py’プロジェクトを公開した脅威アクターによって利用されています。」

悪質な「solana-py」パッケージは、2024年8月4日に公開されて以来、合計1,122回のダウンロードを記録しました。現在はPyPIからのダウンロードはできなくなっています。

このライブラリの最も注目すべき点は、バージョン番号が0.34.3、0.34.4、0.34.5であることです。正当な「solana」パッケージの最新バージョンは0.34.3です。これは明らかに、脅威アクターが「solana」を探しているユーザーを騙して「solana-py」を誤ってダウンロードさせようとしていることを示しています。

さらに、悪質なパッケージは正当なライブラリのコードを借用しますが、Solanaブロックチェーンウォレットのキーをシステムから収集するための追加コードが「__init__.py」スクリプトに注入されています。

この情報は、脅威アクターが運営するHugging Face Spacesドメイン（「treeprime-gen.hf[.]space」）に流出され、脅威アクターが正当なサービスを悪用していることを再度強調しています。

この攻撃キャンペーンはサプライチェーンリスクを引き起こし、Sonatypeの調査では「solders」のような正当なライブラリがPyPIドキュメント内で「solana-py」に言及していることが判明し、開発者が誤ってPyPIから「solana-py」をダウンロードして攻撃面を広げるシナリオを引き起こす可能性があります。

「言い換えれば、正当な’solders’ PyPIパッケージをアプリケーションで使用している開発者が（soldersのドキュメントによって）typosquattedな’solana-py’プロジェクトに騙されてしまった場合、彼らは知らず知らずのうちにアプリケーションに暗号通貨泥棒を導入してしまうことになります」とSharmaは説明しました。

「これにより、彼らの秘密だけでなく、開発者のアプリケーションを実行しているユーザーの秘密も盗まれることになります。」

この報告は、Phylumが2024年4月に初めて明らかになったTeaプロトコルの悪用に関するマーカーを含む数十万のスパムnpmパッケージをレジストリで特定したと伝えたことと同時に発表されました。

「Teaプロトコルプロジェクトは、この問題を解決するための措置を講じています」とサプライチェーンセキュリティ企業は述べました。「他の人々がシステムを詐欺にかけているために、Teaプロトコルの正当な参加者の報酬が減少するのは不公平です。また、npmはこれらのスパマーのいくつかを取り下げ始めましたが、取り下げ率は新たな公開率に見合っていません。」