悪性のPythonパッケージ「set-utils」がPyPIで発見されました。
このパッケージは、人気のライブラリを偽装してEthereumプライベートキーを盗むことができます。
1,077回ダウンロードされましたが、現在はダウンロードできなくなっています。攻撃者はRSA公開鍵を使用して盗んだデータを暗号化し、Polygon RPCエンドポイントを通じてプライベートキーを外部に流出させます。
バックグラウンドスレッドで実行されるため、検出が難しくなります。
from:This Malicious PyPI Package Stole Ethereum Private Keys via Polygon RPC Transactions
【編集部解説】
この悪性パッケージは、開発者が信頼しているライブラリを模倣することで、Ethereumプライベートキーの盗難を企てています。
特に、Pythonベースのブロックチェーンアプリケーションを使用する開発者や組織がターゲットです。攻撃者は、盗んだプライベートキーをブロックチェーン取引内で外部に流出させることで、従来の検出手法を回避しようとしています。
これは、ソフトウェアサプライチェーン攻撃の新たな形態であり、開発者にはパッケージの信頼性を確認することが重要です。
また、ブロックチェーン技術の進化とともに、セキュリティ対策も進化する必要があります。
特に、デジタル資産の管理においては、厳格なセキュリティ基準が求められます。将来的には、より高度なセキュリティ技術が開発される可能性がありますが、同時に新たなリスクも生まれる可能性があります。
【参考情報】
Public KeyとPrivate Key:
公開鍵と秘密鍵は、暗号技術で使用されるペアです。公開鍵は誰でも知ることができ、秘密鍵は所有者だけが知ることができます。Ethereumでは、秘密鍵を使用して取引を承認し、公開鍵でその承認を検証します。
RSA暗号:
非対称暗号の一種で、公開鍵と秘密鍵を使用してデータを暗号化・復号化します。公開鍵で暗号化し、秘密鍵で復号化します。
Polygon RPCエンドポイント:
Polygonネットワークと通信するためのAPIエンドポイントです。ブロックチェーン上のデータを取得したり、取引を送信するために使用されます。
ソフトウェアサプライチェーン攻撃: ソフトウェアの開発や配布の過程において、悪意のあるコードやパッケージが意図的に組み込まれる攻撃手法。
バックグラウンドスレッド: ユーザーの操作とは独立して、裏で実行されるプログラムの処理。
【参考リンク】
Socket(外部)
ソフトウェアサプライチェーンのセキュリティを強化するプラットフォームを提供する企業。悪性パッケージをリアルタイムで検出・ブロックします。
Polygon (Matic Network)(外部)
スケーラビリティと低コストを実現したブロックチェーンプラットフォーム。Ethereumの拡張としても利用されています。