Wie The Hacker News berichtet, wurde die aiocpa-Bibliothek des auf dem Crypto Bot basierenden Zahlungssystems Crypto Pay im Python Package Index-Repository böswillig aktualisiert, um den Diebstahl privater Schlüssel über Telegram im Rahmen eines neuen Eindringens in die Software-Lieferkette zu erleichtern.
Cryptocurrency payment service Crypto Pay has fallen victim to a software supply chain attack, with its aiocpa library on the Python Package Index (PyPI) repository being maliciously updated to steal private keys via Telegram, The Hacker News reports.
Der Kryptowährungs-Zahlungsdienst Crypto Pay ist Opfer eines Software-Lieferkettenangriffs geworden, bei dem seine aiocpa-Bibliothek im Python Package Index (PyPI)-Repository in böswilliger Absicht aktualisiert wurde, um private Schlüssel über Telegram zu stehlen, berichtet The Hacker News.
The initial compromise of the package, a synchronous and asynchronous Crypto API client that has since been removed from PyPI, was noted with "sync.py" script modifications in aiocpa version 0.1.13 that executed a blob code subjected to multiple encoding and compression layers, ultimately enabling Telegram bot-based exfiltration of Crypto Pay API tokens, according to a report from Phylum, which has not yet definitively attributed the package compromise to a specific actor.
Die anfängliche Kompromittierung des Pakets, eines synchronen und asynchronen Crypto API-Clients, der inzwischen aus PyPI entfernt wurde, wurde durch „sync.py“-Skriptänderungen in aiocpa Version 0.1.13 festgestellt, die einen Blob-Code ausführten, der mehreren Kodierungs- und Komprimierungsebenen unterzogen wurde Laut einem Bericht von Phylum, der die Paketkompromittierung noch nicht endgültig einem bestimmten Akteur zugeschrieben hat, ermöglichte dies letztlich die Telegram-Bot-basierte Exfiltration von Crypto Pay API-Tokens.
"As evidenced here, attackers can deliberately maintain clean source repos while distributing malicious packages to the ecosystems," said Phylum, which urged developers to perform PyPI package source code scanning before downloading packages to mitigate potential compromise.
„Wie hier gezeigt, können Angreifer absichtlich saubere Quell-Repositories aufrechterhalten, während sie schädliche Pakete an die Ökosysteme verteilen“, sagte Phylum, das Entwickler dazu drängte, vor dem Herunterladen von Paketen einen PyPI-Paketquellcode-Scan durchzuführen, um potenzielle Gefährdungen abzumildern.
Haftungsausschluss:info@kdj.com
Die bereitgestellten Informationen stellen keine Handelsberatung dar. kdj.com übernimmt keine Verantwortung für Investitionen, die auf der Grundlage der in diesem Artikel bereitgestellten Informationen getätigt werden. Kryptowährungen sind sehr volatil und es wird dringend empfohlen, nach gründlicher Recherche mit Vorsicht zu investieren!
Wenn Sie glauben, dass der auf dieser Website verwendete Inhalt Ihr Urheberrecht verletzt, kontaktieren Sie uns bitte umgehend (info@kdj.com) und wir werden ihn umgehend löschen.
