1000’den Fazla Kullanıcı, Kripto Özel Anahtarlarını Çalan Bir PyPI Paketi İndirdi

Kötü niyetli bir Python paketi olan “set-utils”, cüzdan oluşturma fonksiyonlarını ele geçirerek Ethereum özel anahtarlarını çalmakla bulundu.

Gerçek Python araçlarını taklit eden paket, 29 Ocak 2025’te Python Package Index (PyPI) üzerine yüklendi ve keşfedilmeden önce 1,000’den fazla indirildi. Socket’tan güvenlik araştırmacıları saldırıyı ortaya çıkardı ve bulgularını raporladı.

Python’da kümelerle çalışmak için basit bir araç gibi gözüken set-utils, geliştiricileri onu yüklemeye kandırdı. Ancak, bir kez kullanıma alındığında, sessizce Ethereum özel anahtarlarını çaldı ve bunları Polygon blockchain aracılığıyla saldırganlara iletti.

Bu yöntem, saldırının tespitini zorlaştırır çünkü çoğu siber güvenlik aracı geleneksel ağ trafiğini izler ancak blockchain işlemlerini şüpheli olarak işaretlemez.

Saldırı, özellikle blockchain geliştiricileri, merkezi olmayan finans (DeFi) projeleri, kripto borsaları, Web3 uygulamaları ve Ethereum cüzdanlarını yönetmek için Python scriptleri kullanan bireyleri hedef aldı.

Paket, eth-account gibi Python tabanlı kütüphanelerdeki cüzdan oluşturma işlevlerini engelledi ve arka planda özel anahtarları çıkardı. Bu anahtarlar daha sonra bir saldırganın kontrolü altındaki RSA genel anahtarı kullanılarak şifrelendi ve bir RPC uç noktası aracılığıyla Polygon ağına gönderildi, bu da etkin bir şekilde verileri Ethereum işlemlerinde gizledi.

Geleneksel phishing saldırılarına veya zararlı yazılımlara kıyasla, bu yöntem yaygın siber güvenlik savunmalarını atlatır. Ethereum işlemleri kalıcı olduğu için, saldırıganlar çalınan anahtarları herhangi bir zamanda geri alabilirler.

Bir kullanıcı paketi kaldırsa bile, cüzdanları tehlike altında kalır. Set-utils aktif olduğu sırada oluşturulan tüm Ethereum hesaplarının güvensiz olduğu düşünülmeli ve kullanıcılara fonlarını hemen yeni, güvenli bir cüzdana aktarmaları tavsiye edilir.

Saldırının bir başka gizli özelliği, kullanıcının fark etmeden standart cüzdan oluşturma fonksiyonlarını değiştirme yeteneğiydi. Kötü amaçlı kod, normal Ethereum hesap oluşturma işlevlerinin etrafına sarılıyordu ve kullanıcı çalışmaya devam ederken arka planda çalışıyordu. Bu, her yeni oluşturulan cüzdanın özel anahtarının çalındığından emin olunmasını sağladı.

Keşfinden sonra, set-utils PyPI’dan kaldırıldı, ancak daha önce yükleyen herkes için risk devam ediyor. Güvenlik uzmanları, paketi Python ortamlarında kontrol etmeyi ve herhangi bir yetkisiz cüzdan erişimini taramayı öneriyor.

Bu olay, açık kaynak ekosisteminde tedarik zinciri saldırılarının artan tehdidini vurgulamaktadır. Burada kötü niyetli yazılımlar, yardımcı araçlar gibi gizlenir ve bu durum geliştiricileri ve projelerini riske atar.