Paquete malicioso en PyPI ataca la API de MEXC para robar credenciales y desviar órdenes de trading.
Publicado enAtaques

Paquete malicioso en PyPI ataca la API de MEXC para robar credenciales y desviar órdenes de trading.

No hay comentarios

Paquete malicioso en PyPI ataca usuarios de MEXC Exchange mediante biblioteca CCXT

Investigadores en ciberseguridad han identificado un paquete malicioso en el repositorio Python Package Index (PyPI) que compromete transacciones en el exchange de criptomonedas MEXC. El módulo, denominado ccxt-mexc-futures, se presenta como una extensión de la popular biblioteca ccxt (CryptoCurrency eXchange Trading), pero en realidad redirige órdenes de trading a servidores controlados por atacantes para robar fondos.

Mecanismo del ataque

El paquete malicioso aprovecha la confianza en dependencias de código abierto para inyectar funcionalidades fraudulentas:

  • Suplantación de identidad: Imita una extensión legítima de CCXT, biblioteca ampliamente utilizada para interactuar con exchanges.
  • Inyección de código: Modifica rutas de API para interceptar solicitudes de trading.
  • Redirección de transacciones: Desvía órdenes a un servidor malicioso antes de llegar a MEXC.
  • Robo de credenciales: Captura claves API y firmas digitales de transacciones.

Implicaciones técnicas

Este incidente destaca vulnerabilidades críticas en la cadena de suministro de software:

  • Falta de verificación de paquetes: PyPI no realiza análisis estático/dinámico exhaustivo de código subido.
  • Dependencia de nombres similares: Los atacantes usan typosquatting (ccxt-mexc-futures vs paquetes oficiales).
  • Ausencia de sandboxing: Las bibliotecas Python tienen acceso completo al sistema sin aislamiento.

Medidas de mitigación

Para desarrolladores y usuarios de CCXT:

  • Verificar siempre la autenticidad de paquetes mediante pip hash y firmas GPG.
  • Usar entornos virtuales con permisos restringidos (venv + chroot).
  • Implementar listas de allowlist para dependencias críticas.
  • Monitorear tráfico de red desde aplicaciones que usan CCXT.

Los mantenedores de PyPI han eliminado el paquete, pero se recomienda auditar instalaciones recientes con:

pip list | grep ccxt-mexc-futures

Conclusión

Este caso demuestra cómo los atacantes explotan la confianza en ecosistemas de código abierto para objetivos financieros. La combinación de ingeniería social y vulnerabilidades técnicas requiere mayor rigor en la gestión de dependencias, especialmente en entornos DeFi donde las pérdidas son irreversibles.

Para más detalles técnicos, consulta el reporte original: Fuente original.

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta