加密支付系统遭恶意攻击

关键要点

• Crypto Pay 的 aiocpa 库在 PyPI 上被恶意更新，以便通过 Telegram 盗取私钥。
• 初步的包裹妥协通过修改 “sync.py” 脚本得以证实，受影响版本为 aiocpa 0.1.13。
• Phylum 报告指出，攻击者可以在分发恶意包的同时，保持源代码库的干净。
• 建议开发者在下载前对 PyPI 包的源代码进行扫描，以防止潜在的安全隐患。

近期，根据 的报道，加密支付系统 Crypto Pay 的 aiocpa 库在 上被恶意更新，导致通过 Telegram 进行私钥盗取的安全漏洞。这一事件是新一轮软件供应链入侵的结果。

aiocpa 包最初的妥协在于其版本 0.1.13 中的 “sync.py” 脚本被修改，这种修改允许执行经过多次编码和压缩的 blob代码，最终实现了通过 Telegram 机器人提取 Crypto Pay API 令牌。尽管 Phylum尚未将这一包裹的妥协归因于具体的攻击者，Phylum 仍指出了攻击者的一个策略：在分发恶意包的同时，保证源代码库的看似清洁。Phylum呼吁开发者在下载包之前进行 PyPI 包源代码的扫描，以防止潜在的妥协。

重要信息

• 攻击者通过精心设计的恶意软件渗透到公共库。
• 疑似受影响的 aiocpa 包已从 PyPI 中删除，但使用该库的项目仍面临风险。
• 维护良好的安全审查和源代码检查至关重要，以保护开发环境和用户的数据安全。

希望这一事件能引起开发者们的注意，确保对使用的每一个库保持高度警惕。