Розробники Solana та Ethereum зазнали атаки через підроблені npm-пакети з помилками у назвах - Coinfea

Розробники Ethereum та Solana стали мішенню п’яти зловмисних npm пакетів, які крадуть приватні ключі та надсилають їх атакуючому. Пакети покладаються на техніку typosquatting, імітуючи легітимні крипто-бібліотеки. Дослідники безпеки з Socket виявили п’ять зловмисних npm пакетів, опублікованих під одним акаунтом.

Зловмисна кампанія охоплює екосистеми Ethereum та Solana з активною інфраструктурою командного та контрольного центру (C2). Один з пакетів був відкликаний протягом п’яти хвилин, але він приховав свій код і надсилав викрадені дані атакуючому. Хакери покладалися на тактики соціальної інженерії та typosquatting, щоб обманути розробників і вкрасти їх криптовалюту.

Typosquatting — це тактика, коли атакуючі створюють фальшиві пакети з назвами, схожими на популярні бібліотеки. Розробники можуть випадково встановити ці зловмисні пакети, вважаючи їх легітимними. Завдання зловмисних пакетів — відволікати ключі на зашитий Telegram-бот.

Хакери націлюються на розробників Solana та Ethereum

Зловмисна атака npm працює, перехоплюючи функції, які розробники використовують для передачі приватних ключів. Коли викликається функція, пакет надсилає ключ до Telegram-бота атакуючого перед поверненням очікуваного результату. Це робить атаку невидимою для ненавчених розробників. Згідно з даними дослідників безпеки, чотири пакети націлені на розробників Solana, тоді як один — на розробників Ethereum.

Чотири пакети, що націлюються на Solana, перехоплюють виклики Base58 decode(), тоді як пакет ethersproject-wallet націлюється на конструктор гаманця Ethereum. Усі зловмисні пакети покладаються на глобальний fetch, який вимагає Node.js 18 або новішої версії. У старіших версіях запит завершується без помилок, і жодні дані не крадуться. Усі пакети надсилають дані на один і той же Telegram-ендоінт.

Токен бота та ID чату закодовані в кожному пакеті, і немає зовнішнього сервера, тому канал працює, поки Telegram-бот залишається онлайн. Пакет raydium-bs58 є найпростішим. Він модифікує функцію decode і надсилає ключ перед поверненням результату. README скопійовано з легітимного SDK, а поле автора залишено порожнім.

Другий пакет Solana, base-x-64, приховує корисне навантаження шляхом обфускації. Корисне навантаження надсилає повідомлення до Telegram з викраденим ключем. Пакет bs58-basic сам по собі не містить зловмисного коду, але залежить від base-x-64 і передає корисне навантаження через ланцюг. Пакет Ethereum, пакет ethersproject-wallet, копіює реальну бібліотеку, @ethersproject/wallet. Зловмисний пакет вставляє один додатковий рядок після компіляції. Зміна з’являється лише у скомпільованому файлі, що підтверджує ручне втручання.

Усі пакети ділять один і той же командний ендпоінт, помилки та артефакти збірки. Два пакети використовують ідентичні скомпільовані файли. Інший пакет безпосередньо залежить від іншого. Ці зв’язки вказують на одного актора, який використовує той же робочий процес. Запити на видалення були надіслані до npm дослідниками безпеки. Приватні ключі, втрачені через цю атаку, скомпрометовані, і будь-які пов’язані кошти повинні бути швидко переміщені до нового гаманця.