网络安全研究人员在 Python 包索引 （PyPI） 存储库上发现了一个新的恶意包，该包伪装成 Solana 区块链平台的库，但实际上旨在窃取受害者的秘密。

“合法的 Solana Python API 项目在 GitHub 上被称为”solana-py“，但简称为”索拉纳 索拉纳在 Python 软件注册表 PyPI 上，“Sonatype 研究员 Ax Sharma说 说在上周发表的一份报告中。“这种微小的命名差异被一个威胁行为者利用了，他在 PyPI 上发布了一个’solana-py’项目。”

恶意的“solana-py”包共吸引了 1,122 下载 1,122次下载自 2024 年 8 月 4 日发布以来。它不再可从 PyPI 下载。

该库最引人注目的方面是它带有版本号 0.34.3、0.34.4 和 0.34.5。合法的“solana”包的最新版本是 0.34.3。这清楚地表明威胁行为者试图诱骗寻找“solana”的用户无意中下载“solana-py”。

更重要的是，流氓包从其对应物那里借用了真实代码，但在“__init__.py”脚本中注入了额外的代码，该脚本负责从系统中收集 Solana 区块链钱包密钥。

然后，此信息被泄露到 Hugging Face Spaces域名 拥抱面部空间域由威胁参与者操作 （“treeprime-gen.hf[.]空间“），再次强调了威胁行为者是如何滥用的合法服务 合法服务用于恶意目的。

该攻击活动带来了供应链风险，因为 Sonatype 的调查发现，像“焊料”这样的合法库在其中引用了“solana-py”PyPI 文档 PyPI留档，导致开发人员可能错误地从 PyPI 下载了“solana-py”并扩大了攻击面的情况。

“换句话说，如果开发人员在他们的应用程序中使用合法的’solders’PyPI包被误导（通过solders的文档）陷入拼写错误的’solana-py’项目，他们就会无意中在他们的应用程序中引入一个加密窃取器，”Sharma解释说。

“这不仅会窃取他们的秘密，还会窃取运行开发人员应用程序的任何用户的秘密。

Phylum 表示，它在注册表上发现了数十万个垃圾邮件 npm 包，其中包含 Tea 协议滥用的标记，该活动首次曝光 第一次曝光在2024年4月。

“茶叶协议项目是 采取措施 采取步骤为了解决这个问题，“供应链安全公司 说 说.“对于茶叶协议的合法参与者来说，因为其他人在欺骗该系统而减少他们的报酬是不公平的。此外，npm 已经开始删除其中一些垃圾邮件发送者 删除其中一些垃圾邮件发送者，但删除率与新的发布率不匹配。