Solana、 Ethereum 開発者がタイポスクワッティングのnpmパッケージによる攻撃を受ける

Ethereum と Solana 開発者が、秘密鍵を盗み出して攻撃者に送信する5つの悪質なnpmパッケージの標的となった。これらのパッケージは、正規の暗号ライブラリを模倣するタイポスクワッティングの手法を利用している。.

Socket社のセキュリティ研究者らは、単一のアカウントで公開された5つの悪意のあるnpmパッケージを発見した。この悪質なキャンペーンは、 Ethereum と Solana エコシステムを標的としており、アクティブなコマンド＆コントロール（C2）インフラストラクチャが使用されている。.

パッケージの一つは5分以内に非公開になったが、コードを隠蔽し、盗んだデータを攻撃者に送信した。.

ハッカーが Ethereum と Solana 開発者を標的に

仮想通貨ハッカーは、 ではない だけを標的にする 個人投資家や高齢者 を利用して 開発者を騙し、仮想通貨を盗み出す。

悪意のあるパッケージの役割は、キーをハードコードされたTelegramボットに転送することです。.

悪意のある npm攻撃は、 開発者が秘密鍵を渡すために使用する関数をフックすることで機能します。関数が呼び出されると、パッケージは期待される結果を返す前に、鍵を攻撃者のTelegramボットに送信します。これにより、攻撃に気づかない開発者には攻撃が見えないようになっています 。

セキュリティ研究者によると、4つのパッケージは Solana 開発者を標的としており、1つは Ethereum 開発者を標的としている。.

Solana を対象とする4つのパッケージはBase58のdecode()呼び出しを傍受する一方、ethersproject-walletパッケージは Ethereum ウォレットのコンストラクタを対象とする。.

悪意のあるパッケージはすべてグローバルフェッチに依存しており、これにはNode.js 18以降が必要です。それより古いバージョンでは、リクエストはサイレントに失敗し、データは盗まれません。.

すべてのパッケージは同じ Telegram エンドポイントにデータを送信します。ボットトークンとチャットIDは各パッケージにハードコードされており、外部サーバーは存在しないため、Telegramボットがオンラインである限りチャンネルは機能します。

raydium-bs58 パッケージは最もシンプルなパッケージです。デコード関数を修正し、結果を返す前にキーを送信します。README は正規の SDK からコピーされており、著者欄は空欄です。.

2つ目の Solana パッケージであるbase-x-64は、難読化によってペイロードを隠蔽する。ペイロードは、盗まれた鍵をTelegramに送信する。.

bs58-basicパッケージ自体には悪意のあるコードは含まれていませんが、base-x-64に依存しており、ペイロードをチェーンを通して渡します。.

Ethereum パッケージであるethersproject-walletパッケージは、実際のライブラリである@ethersproject/walletをコピーします。悪意のあるパッケージは、コンパイル後に余分な行を1行挿入します。この変更はコンパイル済みのファイルにのみ現れるため、手動で改ざんされたことが確認できます。.

すべてのパッケージは、同じコマンドエンドポイント、タイプミス、およびビルド成果物を共有しています。2つのパッケージはdentコンパイル済みファイルを使用しています。別のパッケージは、もう一方のパッケージに直接依存しています。これらのリンクは、同じワークフローを使用する単一のアクターを指しています。.

セキュリティ研究者からnpmに削除要請が提出されました。この攻撃により失われた秘密鍵は侵害されており、関連する資金は速やかに新しいウォレットに移動する必要があります。.