Le système de paiement basé sur Crypto Bot, Crypto Pay, a vu sa bibliothèque aiocpa sur le référentiel Python Package Index mise à jour de manière malveillante pour faciliter le vol de clé privée via Telegram dans le cadre d'une nouvelle intrusion dans la chaîne d'approvisionnement logicielle, rapporte The Hacker News.
Cryptocurrency payment service Crypto Pay has fallen victim to a software supply chain attack, with its aiocpa library on the Python Package Index (PyPI) repository being maliciously updated to steal private keys via Telegram, The Hacker News reports.
Le service de paiement en crypto-monnaie Crypto Pay a été victime d'une attaque de chaîne d'approvisionnement logicielle, sa bibliothèque aiocpa sur le référentiel Python Package Index (PyPI) étant mise à jour de manière malveillante pour voler des clés privées via Telegram, rapporte The Hacker News.
The initial compromise of the package, a synchronous and asynchronous Crypto API client that has since been removed from PyPI, was noted with "sync.py" script modifications in aiocpa version 0.1.13 that executed a blob code subjected to multiple encoding and compression layers, ultimately enabling Telegram bot-based exfiltration of Crypto Pay API tokens, according to a report from Phylum, which has not yet definitively attributed the package compromise to a specific actor.
La compromission initiale du package, un client API Crypto synchrone et asynchrone qui a depuis été supprimé de PyPI, a été constatée avec les modifications du script "sync.py" dans la version 0.1.13 d'aiocpa qui exécutait un code blob soumis à plusieurs couches d'encodage et de compression. , permettant finalement l'exfiltration par robot Telegram des jetons de l'API Crypto Pay, selon un rapport de Phylum, qui n'a pas encore définitivement attribué la compromission du package à un acteur spécifique.
"As evidenced here, attackers can deliberately maintain clean source repos while distributing malicious packages to the ecosystems," said Phylum, which urged developers to perform PyPI package source code scanning before downloading packages to mitigate potential compromise.
"Comme démontré ici, les attaquants peuvent délibérément maintenir des dépôts de sources propres tout en distribuant des packages malveillants aux écosystèmes", a déclaré Phylum, qui a exhorté les développeurs à effectuer une analyse du code source des packages PyPI avant de télécharger des packages afin d'atténuer toute compromission potentielle.
Clause de non-responsabilité:info@kdj.com
Les informations fournies ne constituent pas des conseils commerciaux. kdj.com n’assume aucune responsabilité pour les investissements effectués sur la base des informations fournies dans cet article. Les crypto-monnaies sont très volatiles et il est fortement recommandé d’investir avec prudence après une recherche approfondie!
Si vous pensez que le contenu utilisé sur ce site Web porte atteinte à vos droits d’auteur, veuillez nous contacter immédiatement (info@kdj.com) et nous le supprimerons dans les plus brefs délais.
