通过StackExchange传播恶意Python包的攻击

Key Takeaways

攻击者利用StackExchange上传恶意Python包，目标是加密货币用户。攻击者通过发布看似有帮助的答案来引诱用户下载恶意包。该事件展示了攻击者在加密货币社区中运用的复杂手段。需要加强对软件供应链和API安全的防护措施。

攻击者成功利用StackExchange向开源开发平台PyPI上传了多个恶意Python包，这些包专门针对参与Raydium和Solana等流行区块工具的加密货币用户。开发者使用这些工具时需支付加密货币。

在一篇8月1日的博客文章中，Checkmarx的研究人员表示，针对这群技术娴熟的用户的攻击是出于经济动机。多阶段的信息窃取恶意软件窃取了大量敏感数据，并导致受害者的加密钱包被大量盗取。

研究人员提到，坏分子会在受欢迎的讨论串中发布看似有帮助的答案，借此引导用户下载其恶意包，这利用了开发者对社区驱动的开源平台的信任。

“这种针对这些平台用户的关注显示了攻击者的战略思考，”Checkmarx的研究人员写道。“通过针对这一特定群体，他们能够潜在地中断或操控高价值的交易，显示了攻击背后的明确经济动机。”

Salt Security的网络安全战略总监Eric Schwake补充道，针对Raydium和Solana区块链社区的这次攻击展示了攻击者的复杂性和深入研究的手法。Schwake提到，攻击者在StackExchange上使用了欺骗手段，诱使用户下载可能利用区块链项目API漏洞的恶意包。

“这不仅破坏了对开源仓库和社区平台的信任，还对整个社区产生了重大影响，”Schwake表示。“这一事件突显了威胁环境的不断演变，以及在整个软件供应链中加强安全措施的必要性。同时也强调了重视API安全以保护敏感区块链互动的必要性。”

Bambenek Consulting的总裁John Bambenek指出，这次攻击不仅试图窃取加密货币钱包，还试图针对技术娴熟的用户。Bambenek表示，Raydium特别是一种日内交易工具，不仅允许自动化操作，还意味着用户在加密货币交易中非常活跃，并开发自己的自动化工具。

“这个库试图介入该社区并从中窃取，”Bambenek表示。“对于那些使用开源技术开发系统的用户来说，由于缺乏强大的品牌支持，很难确切知道所使用的仓库是否安全。话虽如此，所有系统都不应该与Telegram API通讯，而后者正日益被用于类似的攻击，因此监测该行为将为高保真漏洞检测提供绝佳机会。”