Más de 1,000 Usuarios Descargaron un Paquete PyPI que Robó Claves Privadas de Criptoactivos

Se descubrió un paquete Python malicioso llamado “set-utils” que robaba claves privadas de Ethereum al secuestrar las funciones de creación de carteras.

El paquete, que imita las utilidades legítimas de Python, fue subido al Python Package Index (PyPI) el 29 de enero de 2025, y había sido descargado más de 1,000 veces antes de su descubrimiento. Los investigadores de seguridad de Socket descubrieron el ataque y informaron sus hallazgos.

Disfrazado como una herramienta sencilla para trabajar con conjuntos en Python, set-utils engañó a los desarrolladores para que lo instalaran. Sin embargo, una vez en uso, robó silenciosamente las claves privadas de Ethereum y las transmitió a los atacantes a través de la cadena de bloques Polygon.

Este método hace que el ataque sea difícil de detectar, ya que la mayoría de las herramientas de ciberseguridad monitorean el tráfico de red tradicional pero no marcan las transacciones de la cadena de bloques como sospechosas.

El ataque estaba dirigido específicamente a desarrolladores de blockchain, proyectos de finanzas descentralizadas (DeFi), intercambios de criptomonedas, aplicaciones Web3 e individuos que utilizan scripts de Python para administrar carteras de Ethereum.

El paquete interceptó funciones de creación de carteras en bibliotecas basadas en Python, como eth-account, y extrajo claves privadas en segundo plano. Estas claves fueron luego cifradas utilizando una clave pública RSA controlada por el atacante y enviadas a la red Polygon a través de un punto final de RPC, ocultando efectivamente los datos en las transacciones de Ethereum.

A diferencia de los ataques de phishing convencionales o malware, este método elude las defensas comunes de ciberseguridad. Dado que las transacciones de Ethereum son permanentes, los atacantes pueden recuperar las claves robadas en cualquier momento.

Incluso si un usuario desinstala el paquete, sus carteras permanecen comprometidas. Cualquier cuenta de Ethereum creada mientras set-utils estaba activo debe considerarse insegura, y se insta a los usuarios a transferir sus fondos a una nueva cartera segura de inmediato.

Otra característica sigilosa del ataque fue su capacidad para modificar las funciones estándar de creación de carteras sin que el usuario se diera cuenta. El código malicioso se envolvía alrededor de las funciones normales de generación de cuentas de Ethereum, funcionando en segundo plano mientras el usuario continuaba trabajando. Esto garantizaba que cada cartera recién creada tuviera su clave privada robada.

Tras su descubrimiento, set-utils fue retirado de PyPI, pero el riesgo persiste para cualquiera que lo haya instalado antes de su eliminación. Los expertos en seguridad aconsejan revisar los entornos Python para verificar el paquete y escanear en busca de cualquier acceso no autorizado a la cartera.

El incidente pone de relieve la creciente amenaza de los ataques a la cadena de suministro en el ecosistema de código abierto, donde el software malicioso se disfraza de herramientas útiles, poniendo en riesgo a los desarrolladores y sus proyectos.