Solana, sviluppatori Ethereum attaccati da pacchetti npm di typosquat

Gli sviluppatori Ethereum e Solana sono stati presi di mira da cinque pacchetti npm dannosi che rubano le chiavi private e le inviano all'attaccante. I pacchetti si basano sul typosquatting, imitando librerie crittografiche legittime.

I ricercatori di sicurezza di Socket hanno scoperto cinque pacchetti npm dannosi pubblicati sotto un unico account. La campagna malevola colpisce gli ecosistemi Ethereum e Solana , con un'infrastruttura di comando e controllo (C2) attiva.

Uno dei pacchetti è stato reso non pubblico entro cinque minuti, ma ha nascosto il suo codice e ha inviato i dati rubati all'attaccante.

Gli hacker prendono di mira gli sviluppatori Ethereum e Solana

Gli hacker di criptovalute non prendono di mira solo i piccoli investitori e gli anziani. Si affidano a tattiche di ingegneria sociale e typosquatting per ingannare gli sviluppatori e rubare le loro criptovalute.

Lo scopo dei pacchetti dannosi è quello di deviare le chiavi verso un bot Telegram preconfigurato.

L' attacco malevolo a npm funziona intercettando le funzioni che gli sviluppatori utilizzano per passare le chiavi private. Quando una funzione viene chiamata, il pacchetto invia la chiave al bot Telegram dell'attaccante prima di restituire il risultato atteso. Questo rende l'attacco invisibile agli sviluppatori ignari.

Secondo i ricercatori di sicurezza, quattro pacchetti prendono di mira gli sviluppatori Solana , mentre uno è destinato agli sviluppatori Ethereum .

I quattro pacchetti destinati Solana intercettano le chiamate decode() di Base58, mentre il pacchetto ethersproject-wallet si rivolge al costruttore Ethereum Wallet.

Tutti i pacchetti dannosi si basano su `global fetch`, che richiede Node.js 18 o versioni successive. Nelle versioni precedenti, la richiesta fallisce silenziosamente e non vengono rubati dati.

Tutti i pacchetti inviano dati allo stesso di Telegram . Il token del bot e l'ID della chat sono codificati in modo fisso in ogni pacchetto e non è presente alcun server esterno, quindi il canale funziona finché il bot di Telegram rimane online.

Il pacchetto raydium-bs58 è il più semplice. Modifica una funzione di decodifica e invia la chiave prima di restituire il risultato. Il file README è copiato da un SDK legittimo e il campo autore è vuoto.

Il secondo pacchetto Solana , base-x-64, nasconde il payload tramite offuscamento. Il payload invia un messaggio a Telegram contenente la chiave rubata.

Il pacchetto bs58-basic non contiene di per sé codice dannoso, ma dipende da base-x-64 e trasmette il payload attraverso la catena.

Il pacchetto Ethereum , ethersproject-wallet, copia una libreria reale, @ethersproject/wallet. Il pacchetto malevolo inserisce una riga aggiuntiva dopo la compilazione. La modifica appare solo nel file compilato, il che conferma la manomissione manuale.

Tutti i pacchetti condividono lo stesso endpoint di comando, gli stessi errori di battitura e gli stessi artefatti di compilazione. Due pacchetti utilizzano file compilatident. Un altro pacchetto dipende direttamente dall'altro. Questi collegamenti puntano a un singolo attore che utilizza lo stesso flusso di lavoro.

Alcuni ricercatori di sicurezza hanno inviato richieste di rimozione a npm. Le chiavi private perse a seguito di questo attacco sono compromesse e tutti i fondi associati dovrebbero essere trasferiti rapidamente in un nuovo portafoglio.