根据网络安全研究人员的披露,一款恶意软件包已被上传至Python软件包索引(PyPI)存储库,其目的是将MEXC加密货币交易所发布的交易订单重定向到恶意服务器,并窃取加密代币。 这个名为ccxt-mexc-futures的软件包声称是在著名的Python库ccxt的基础上构建的扩展。ccxt库用于连接多个加密货币交易所并进行交易,同时也为支付处理服务提供便利。 目前,该恶意软件包已经在PyPI上被移除,但根据pepy.tech网站的统计数据显示,它已被下载至少1065次。 JFrog的研究人员Guy Korolevski在与The Hacker News分享的报告中指出:“恶意软件包ccxt-mexc-futures的作者在其README文件中声称,该软件包扩展了CCXT库,以支持在MEXC上进行期货交易。” 然而,对该库进行深入检查后发现,它专门篡改了与MEXC接口相关的两个应用程序编程接口(API):contract_private_post_order_submit和contract_private_post_order_cancel,并引入了一个名为spot4_private_post_order_place的新API。 这样做的目的是引诱开发人员调用这些API端点,在MEXC交易所上创建、取消或下达交易订单,同时在后台执行恶意操作。 这些恶意修改特别针对原始ccxt库中与MEXC相关的三个不同函数:describe、sign和prepare_request_headers。 这使得安装了该软件包的本地机器能够执行任意代码,有效地从伪装成MEXC的虚假域名“v3.mexc.workers[.]dev”获取一个JSON负载,并包含一种配置,将被篡改的API定向到恶意的第三方平台“greentreeone[.]com”,而非实际的MEXC网站。 Korolevski表示:“该软件包使用一个API创建了与MEXC集成的API条目,而该API将请求定向到greentreeone[.]com域名,而非MEXC网站。”
译文声明
本文是翻译文章,文章原作者 Ravie Lakshmanan,文章来源:TheHackersNews
原文地址:https://thehackernews.com/2025/04/malicious-pypi-package-targets-mexc.html
译文仅供参考,具体内容表达以及含义原文为准。
还没有评论,来说两句吧...