恶意 PyPI 软件包瞄准 MEXC 交易 API 以窃取凭证

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一个恶意软件包，该软件包被上传到Python软件包索引（PyPI）仓库，其设计目的是将用户在MEXC加密货币交易所下达的交易订单重定向到恶意服务器，并窃取代币。 这个名为ccxt-mexc-futures的软件包声称是基于一个流行的Python库ccxt（全称为CryptoCurrency eXchange Trading）的扩展，该库被用于连接和交易多个加密货币交易所，并提供支付处理服务。 尽管该恶意软件包已不再出现在PyPI上，但pepy.tech的统计数据显示，它至少已被下载了1065次。 “恶意ccxt-mexc-futures软件包的作者在其README文件中声称，该软件包扩展了CCXT软件包，以支持在MEXC上进行‘期货’交易，”JFrog研究员盖伊·科罗列夫斯基（Guy Korolevski）在与《黑客新闻》分享的一份报告中表示。 然而，对该库的深入分析揭示，它专门覆盖了与MEXC接口相关的两个API——contract_private_post_order_submit和contract_private_post_order_cancel，并引入了一个名为spot4_private_post_order_place的新API。 通过这种方式，该恶意软件包试图诱骗开发者调用这些API端点，在MEXC交易所创建、取消或下达交易订单，并在后台秘密执行恶意操作。 恶意修改特别针对原始ccxt库中与MEXC相关的三个不同功能，即describe、sign和prepare_request_headers。 这使得攻击者可以在安装该软件包的本地机器上执行任意代码，有效地从一个伪装成MEXC的虚假域名（“v3.mexc.workers[.]dev”）检索一个JSON负载，其中包含一个配置，将被覆盖的API导向一个恶意的第三方平台（“greentreeone[.]com”），而不是真正的MEXC网站。 “该软件包在MEXC集成的API中创建了条目，使用一个将请求导向greentreeone[.]com域名的API，而不是MEXC网站mexc.com，”科罗列夫斯基表示。 “所有请求都被重定向到攻击者设置的域名，这使得攻击者能够劫持受害者的所有加密货币代币以及请求中传输的敏感信息，包括API密钥和密钥。” 不仅如此，该欺诈性软件包还被设计为在发送创建、取消或下达订单的请求时，将MEXC API密钥和密钥发送到攻击者控制的域名。 安装了ccxt-mexc-futures的用户被建议立即撤销任何可能被泄露的代币，并删除该软件包。 这一事件发生在Socket披露威胁行为者利用npm、PyPI、Go和Maven生态系统中的假冒软件包发动攻击，以维持持久性并窃取数据之后。 “毫无戒心的开发者或组织可能会无意中在其代码库中引入漏洞或恶意依赖项，如果未被检测到，可能会导致敏感数据泄露或系统被破坏，”这家软件供应链安全公司表示。 这也紧随一项新的研究，该研究探讨了为生成式人工智能（AI）工具提供支持的大型语言模型（LLMs）如何通过虚构不存在的软件包并向开发者推荐这些软件包来危及软件供应链。 当恶意行为者注册并发布带有虚构名称的恶意软件包到开源仓库时，供应链威胁就会出现，这一过程会感染开发者的系统——这种技术被称为“slopsquatting”。 该学术研究发现，“商业模型中虚构软件包的平均比例至少为5.2%，开源模型中为21.7%，其中包括205,474个独特的虚构软件包名称，这进一步凸显了这一威胁的严重性和普遍性。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文