Mais de 1.000 usuários baixaram um pacote PyPI que roubou Chaves Privadas de Criptomoedas

Foi encontrado um pacote Python malicioso chamado “set-utils” que rouba chaves privadas de Ethereum, sequestrando funções de criação de carteira.

O pacote, que imita utilitários Python legítimos, foi carregado no Python Package Index (PyPI) em 29 de janeiro de 2025 e foi baixado mais de 1.000 vezes antes de sua descoberta. Pesquisadores de segurança da Socket descobriram o ataque e reportaram suas descobertas.

Disfarçado como uma ferramenta simples para trabalhar com conjuntos em Python, o set-utils enganou os desenvolvedores a instalá-lo. No entanto, uma vez em uso, ele silenciosamente roubou chaves privadas Ethereum e as transmitiu para os atacantes através da blockchain Polygon.

Esse método torna o ataque difícil de detectar, já que a maioria das ferramentas de cibersegurança monitora o tráfego de rede tradicional, mas não marca as transações da blockchain como suspeitas.

O ataque visou especificamente desenvolvedores de blockchain, projetos de finanças descentralizadas (DeFi), bolsas de criptomoedas, aplicações Web3 e indivíduos que usam scripts Python para gerenciar carteiras Ethereum.

O pacote interceptou funções de criação de carteira em bibliotecas baseadas em Python, como a eth-account, e extraiu chaves privadas em segundo plano. Essas chaves foram então criptografadas usando uma chave pública RSA controlada pelo atacante e enviadas para a rede Polygon através de um ponto de extremidade RPC, escondendo efetivamente os dados nas transações Ethereum.

Ao contrário dos ataques de phishing convencionais ou malwares, este método contorna as defesas comuns de cibersegurança. Como as transações Ethereum são permanentes, os invasores podem recuperar as chaves roubadas a qualquer momento.

Mesmo que um usuário desinstale o pacote, suas carteiras permanecem comprometidas. Qualquer conta Ethereum criada enquanto o set-utils estava ativo deve ser considerada insegura, e os usuários são instados a transferir seus fundos para uma nova carteira segura imediatamente.

Outra característica furtiva do ataque foi sua capacidade de modificar as funções padrão de criação de carteira sem que o usuário percebesse. O código malicioso envolveu as funções normais de geração de conta Ethereum, funcionando em segundo plano enquanto o usuário continuava a trabalhar. Isso garantiu que toda carteira recém-criada tivesse sua chave privada roubada.

Após sua descoberta, o set-utils foi removido do PyPI, mas o risco permanece para qualquer pessoa que o instalou antes da desativação. Especialistas em segurança aconselham a verificar os ambientes Python para o pacote e a escanear qualquer acesso não autorizado à carteira.

O incidente destaca a crescente ameaça de ataques na cadeia de suprimentos no ecossistema de código aberto, onde softwares maliciosos são disfarçados como ferramentas úteis, colocando em risco os desenvolvedores e seus projetos.