Исследователи по кибербезопасности обнаружили вредоносный пакет
Вредоносный пакет позиционировал себя как расширение популярной библиотеки
Анализ, проведённый Гаем Королевски из компании JFrog, показал, что
Внутри вредоносного пакета были изменены ключевые функции оригинальной библиотеки ccxt —
Каждый раз при создании, отмене или размещении ордера пакет отправлял MEXC API-ключ и секретный ключ пользователя на сервер злоумышленника. Это позволяло перехватывать и похищать криптотокены, а также использовать украденные ключи для несанкционированных торговых операций.
Пользователям, установившим
В более широком контексте эксперты компании Socket отмечают, что подобные атаки становятся всё более распространёнными во всех крупных экосистемах открытого ПО — npm, PyPI, Go и Maven. Злоумышленники загружают в репозитории поддельные пакеты с вредоносным кодом, чтобы получить удалённый доступ к системам, закрепиться в инфраструктуре и выводить конфиденциальные данные. Одной из распространённых тактик является slopsquatting — регистрация и публикация пакетов с вымышленными или искаженными именами, имитирующими популярные библиотеки.
Академические исследования подтверждают масштаб угрозы: по данным одного из последних исследований, не менее 5,2% пакетов в коммерческих моделях и 21,7% в open-source-моделях оказываются "галлюцинированными" — то есть несуществующими, но потенциально вредоносными. Всего было выявлено 205 474 уникальных имён таких пакетов, что говорит о чрезвычайной распространённости проблемы.
Подобные инциденты показывают, насколько уязвимы современные цепочки поставок ПО. Разработчики и организации должны тщательно проверять зависимости и следить за появлением подозрительных или неизвестных библиотек, чтобы не допустить компрометации своих систем и утечки данных.
ccxt-mexc-futures, размещённый в Python Package Index (PyPI). Этот пакет был специально создан для перехвата торговых ордеров, размещаемых на криптовалютной бирже MEXC, и для кражи токенов и учётных данных пользователей. Изображение носит иллюстративный характер
Вредоносный пакет позиционировал себя как расширение популярной библиотеки
ccxt — инструмента для взаимодействия и торговли на различных криптобиржах. В README утверждалось, что пакет добавляет поддержку торговли фьючерсами на MEXC, что должно было привлечь разработчиков, использующих ccxt для автоматизации операций. По данным , вредоносный пакет был скачан не менее 1 065 раз, прежде чем оказался удалён с PyPI. Анализ, проведённый Гаем Королевски из компании JFrog, показал, что
ccxt-mexc-futures подменял работу двух API-интерфейсов MEXC: contract_private_post_order_submit и contract_private_post_order_cancel, а также внедрял новый метод spot4_private_post_order_place. Эти изменения позволяли незаметно направлять торговые запросы не на легитимный сайт MEXC, а на домен злоумышленника — greentreeone[.]com, что открывало полный доступ к управлению ордерами пользователей. Внутри вредоносного пакета были изменены ключевые функции оригинальной библиотеки ccxt —
describe, sign и prepare_request_headers. При их вызове на локальной машине запускался произвольный код, загружавшийся с поддельного домена, маскирующегося под MEXC: v3.mexc.workers[.]dev. Этот код конфигурировал работу API таким образом, чтобы все торговые запросы шли через инфраструктуру злоумышленника. Каждый раз при создании, отмене или размещении ордера пакет отправлял MEXC API-ключ и секретный ключ пользователя на сервер злоумышленника. Это позволяло перехватывать и похищать криптотокены, а также использовать украденные ключи для несанкционированных торговых операций.
Пользователям, установившим
ccxt-mexc-futures, настоятельно рекомендуется немедленно отозвать все возможные скомпрометированные токены и полностью удалить пакет из системы. В более широком контексте эксперты компании Socket отмечают, что подобные атаки становятся всё более распространёнными во всех крупных экосистемах открытого ПО — npm, PyPI, Go и Maven. Злоумышленники загружают в репозитории поддельные пакеты с вредоносным кодом, чтобы получить удалённый доступ к системам, закрепиться в инфраструктуре и выводить конфиденциальные данные. Одной из распространённых тактик является slopsquatting — регистрация и публикация пакетов с вымышленными или искаженными именами, имитирующими популярные библиотеки.
Академические исследования подтверждают масштаб угрозы: по данным одного из последних исследований, не менее 5,2% пакетов в коммерческих моделях и 21,7% в open-source-моделях оказываются "галлюцинированными" — то есть несуществующими, но потенциально вредоносными. Всего было выявлено 205 474 уникальных имён таких пакетов, что говорит о чрезвычайной распространённости проблемы.
Подобные инциденты показывают, насколько уязвимы современные цепочки поставок ПО. Разработчики и организации должны тщательно проверять зависимости и следить за появлением подозрительных или неизвестных библиотек, чтобы не допустить компрометации своих систем и утечки данных.
