Telegram 利用更新的 PyPI 包实现加密数据外泄 媒体
加密支付系统遭恶意攻击
关键要点
Crypto Pay 的 aiocpa 库在 PyPI 上被恶意更新,以便通过 Telegram 盗取私钥。初步的包裹妥协通过修改 syncpy 脚本得以证实,受影响版本为 aiocpa 0113。Phylum 报告指出,攻击者可以在分发恶意包的同时,保持源代码库的干净。建议开发者在下载前对 PyPI 包的源代码进行扫描,以防止潜在的安全隐患。近期,根据 The Hacker News 的报道,加密支付系统 Crypto Pay 的 aiocpa 库在 Python 包索引 上被恶意更新,导致通过 Telegram 进行私钥盗取的安全漏洞。这一事件是新一轮软件供应链入侵的结果。
aiocpa 包最初的妥协在于其版本 0113 中的 syncpy 脚本被修改,这种修改允许执行经过多次编码和压缩的 blob 代码,最终实现了通过 Telegram 机器人提取 Crypto Pay API 令牌。尽管 Phylum 尚未将这一包裹的妥协归因于具体的攻击者,Phylum 仍指出了攻击者的一个策略:在分发恶意包的同时,保证源代码库的看似清洁。Phylum 呼吁开发者在下载包之前进行 PyPI 包源代码的扫描,以防止潜在的妥协。
每日免费2小时的加速器
重要信息
攻击者通过精心设计的恶意软件渗透到公共库。疑似受影响的 aiocpa 包已从 PyPI 中删除,但使用该库的项目仍面临风险。维护良好的安全审查和源代码检查至关重要,以保护开发环境和用户的数据安全。希望这一事件能引起开发者们的注意,确保对使用的每一个库保持高度警惕。
