最近,区块链平台Solana的用户遭遇了一次针对其区块链钱包密钥的恶意攻击,这一攻击源自一个名为“solanapy”的仿冒Python库。根据The Hacker News的报道,该库在被从Python Package Index (PyPI) 删除之前,已经被下载超过1100次。
这一typosquatted项目不仅展示了版本号,与合法的“solana”包匹配或声称是更新版,其功能还包括代码注入,能够窃取Solana区块链钱包密钥。根据Sonatype的分析,这些密钥随后会被发送到一个由攻击者控制的Hugging Face Spaces域名。
“如果一个开发者在其应用中使用了合法的‘solders’ PyPI包,而由于‘solders’的文档误导,被引导去使用了typosquatted的‘solanapy’项目,他们将不经意间在应用中引入一个加密盗窃者。这不仅会窃取他们的秘密,还会窃取任何运行该开发者应用的用户的秘密。” Sonatype研究员Ax Sharma表示。
蚂蚁加速加速器下载此发现跟随着Phylum对众多利用Tea协议标记的垃圾npm包的发现,为开发者和用户的安全智能警惕敲响了警钟。
随着恶意行为的增加,开发者在使用第三方库时应更加谨慎,以确保其应用的安全性。
事件描述恶意库名称solanapy下载次数超过 1100 次攻击手法代码注入,窃取钱包密钥攻击者控制域名Hugging Face Spaces可能影响应用开发者和用户的秘密被窃取
