Solana, Ethereum 개발자들이 오타를 이용한 npm 패키지 공격을 받았습니다

Ethereum 및 Solana 개발자들이 개인 키를 탈취하여 공격자에게 전송하는 악성 npm 패키지 5개의 공격을 받았습니다. 이 패키지들은 합법적인 암호화 라이브러리를 가장하는 타이포스쿼팅(typosquatting) 기법을 사용합니다.

Socket의 보안 연구원들은 단일 계정으로 게시된 악성 npm 패키지 5개를 발견했습니다. 이 악성 캠페인은 Ethereum 및 Solana 생태계를 대상으로 하며, 활발한 명령 및 제어(C2) 인프라를 운영하고 있습니다.

해당 패키지 중 하나는 5분 만에 게시가 취소되었지만, 코드를 숨기고 탈취한 데이터를 공격자에게 전송했습니다.

해커들이 Ethereum 과 Solana 개발자들을 공격했습니다

암호화폐 해커들은 않습니다 만을 표적으로 개인 투자자나 노인 이용하여 개발자들을 속이고 암호화폐를 훔칩니다.

악성 패키지의 목적은 키를 특정 텔레그램 봇으로 전송하는 것입니다.

악의적 인 npm 공격은 개발자가 개인 키를 전달하는 데 사용하는 함수를 후킹하는 방식으로 작동합니다. 함수가 호출되면 패키지는 예상 결과를 반환하기 전에 키를 공격자의 텔레그램 봇으로 전송합니다. 이로 인해 개발자는 공격 사실을 인지하지 못한 채 공격을 피할 수 있습니다.

보안 연구원들에 따르면, 네 개의 패키지는 Solana 개발자를 대상으로 하고, 한 개는 Ethereum 개발자를 대상으로 합니다.

Solana 대상으로 하는 네 가지 패키지는 Base58 decode() 호출을 가로채는 반면, ethersproject-wallet 패키지는 Ethereum 지갑 생성자를 대상으로 합니다.

모든 악성 패키지는 Node.js 18 이상 버전이 필요한 전역 가져오기(global fetch)에 의존합니다. 이전 버전에서는 요청이 오류 없이 실패하고 데이터도 유출되지 않습니다.

모든 패키지는 동일한 텔레그램 엔드포인트로 데이터를 전송합니다. 봇 토큰과 채팅 ID는 모든 패키지에 하드코딩되어 있으며 외부 서버가 없으므로 텔레그램 봇이 온라인 상태를 유지하는 한 채널은 계속 작동합니다.

raydium-bs58 패키지가 가장 간단합니다. 디코딩 함수를 수정하고 결과를 반환하기 전에 키를 전송합니다. README는 정식 SDK에서 복사한 것이며, 작성자 필드는 비어 있습니다.

두 번째 Solana 패키지인 base-x-64는 난독화를 통해 페이로드를 숨깁니다. 이 페이로드는 탈취한 키를 사용하여 텔레그램으로 메시지를 보냅니다.

bs58-basic 패키지 자체에는 악성 코드가 포함되어 있지 않지만 base-x-64에 의존하며 악성 페이로드를 해당 체인을 통해 전달합니다.

Ethereum 패키지인 ethersproject-wallet 패키지는 실제 라이브러리인 @ethersproject/wallet을 복제합니다. 악성 패키지는 컴파일 후 한 줄을 추가합니다. 이 변경 사항은 컴파일된 파일에만 나타나므로 수동 조작임을 확인할 수 있습니다.

모든 패키지는 동일한 명령 엔드포인트, 오타 및 빌드 아티팩트를 공유합니다. 두 패키지는dent컴파일된 파일을 사용합니다. 다른 패키지는 다른 패키지에 직접적으로 의존합니다. 이러한 링크는 동일한 워크플로를 사용하는 단일 액터를 가리킵니다.

보안 연구원들이 npm에 삭제 요청을 제출했습니다. 이번 공격으로 유출된 개인 키는 안전하지 않으므로, 관련된 자금은 신속히 새로운 지갑으로 옮겨야 합니다.