Crypto Bot ベースの決済システム Crypto Pay では、新たなソフトウェア サプライ チェーン侵入の一環として、Telegram を通じた秘密キーの盗難を容易にするために、Python Package Index リポジトリ上の aiocpa ライブラリが悪意をもって更新されていたと The Hacker News が報じています。
Cryptocurrency payment service Crypto Pay has fallen victim to a software supply chain attack, with its aiocpa library on the Python Package Index (PyPI) repository being maliciously updated to steal private keys via Telegram, The Hacker News reports.
暗号通貨決済サービスの Crypto Pay がソフトウェア サプライ チェーン攻撃の被害に遭い、Python Package Index (PyPI) リポジトリ上の aiocpa ライブラリが悪意をもって更新され、Telegram 経由で秘密キーが盗まれていたと The Hacker News が報じています。
The initial compromise of the package, a synchronous and asynchronous Crypto API client that has since been removed from PyPI, was noted with "sync.py" script modifications in aiocpa version 0.1.13 that executed a blob code subjected to multiple encoding and compression layers, ultimately enabling Telegram bot-based exfiltration of Crypto Pay API tokens, according to a report from Phylum, which has not yet definitively attributed the package compromise to a specific actor.
その後 PyPI から削除された同期および非同期の Crypto API クライアントであるパッケージの最初の侵害は、複数のエンコード層と圧縮層の対象となる BLOB コードを実行する aiocpa バージョン 0.1.13 の「sync.py」スクリプトの変更で確認されました。 Phylum のレポートによると、最終的には Telegram ボットベースの Crypto Pay API トークンの窃取が可能になります。パッケージは特定の攻撃者に侵害されます。
"As evidenced here, attackers can deliberately maintain clean source repos while distributing malicious packages to the ecosystems," said Phylum, which urged developers to perform PyPI package source code scanning before downloading packages to mitigate potential compromise.
「ここで証明されているように、攻撃者は悪意のあるパッケージをエコシステムに配布しながら、意図的にクリーンなソース リポジトリを維持することができます」とPhylumは述べ、侵害の可能性を軽減するために、パッケージをダウンロードする前にPyPIパッケージのソースコードスキャンを実行するよう開発者に促しています。
免責事項:info@kdj.com
提供される情報は取引に関するアドバイスではありません。 kdj.com は、この記事で提供される情報に基づいて行われた投資に対して一切の責任を負いません。暗号通貨は変動性が高いため、十分な調査を行った上で慎重に投資することを強くお勧めします。
このウェブサイトで使用されているコンテンツが著作権を侵害していると思われる場合は、直ちに当社 (info@kdj.com) までご連絡ください。速やかに削除させていただきます。
