Solana, desenvolvedores Ethereum atacados por pacotes npm typosquat

Desenvolvedores Ethereum e Solana foram alvo de cinco pacotes npm maliciosos que roubam chaves privadas e as enviam para o atacante. Os pacotes exploram a técnica de typosquatting, imitando bibliotecas criptográficas legítimas.

Pesquisadores de segurança da Socket descobriram cinco pacotes npm maliciosos publicados sob uma única conta. A campanha maliciosa abrange os ecossistemas Ethereum e Solana , com infraestrutura ativa de comando e controle (C2).

Um dos pacotes foi despublicado em cinco minutos, mas ocultava seu código e enviava dados roubados ao atacante.

Hackers têm como alvo os desenvolvedores Ethereum e Solana

Os hackers de criptomoedas não visam apenas investidores de varejo e idosos. Eles se baseiam em táticas de engenharia social e typosquatting para enganar desenvolvedores e roubar suas criptomoedas.

A função dos pacotes maliciosos é desviar chaves para um bot do Telegram pré-programado.

O ataque malicioso ao npm funciona interceptando funções que os desenvolvedores usam para passar chaves privadas. Quando uma função é chamada, o pacote envia a chave para o bot do Telegram do atacante antes de retornar o resultado esperado. Isso torna o ataque invisível para os desenvolvedores desavisados.

Segundo pesquisadores de segurança, quatro pacotes têm como alvo os desenvolvedores Solana , enquanto um tem como alvo os desenvolvedores Ethereum .

Os quatro pacotes direcionados Solana interceptam chamadas decode() em Base58, enquanto o pacote ethersproject-wallet tem como alvo o construtor da carteira Ethereum .

Todos os pacotes maliciosos dependem da função `fetch` global, que requer o Node.js 18 ou posterior. Em versões mais antigas, a requisição falha silenciosamente e nenhum dado é roubado.

Todos os pacotes enviam dados para o mesmo do Telegram . O token do bot e o ID do chat estão embutidos em cada pacote, e não há servidor externo, portanto o canal funciona enquanto o bot do Telegram estiver online.

O pacote raydium-bs58 é o mais simples. Ele modifica uma função de decodificação e envia a chave antes de retornar o resultado. O arquivo README foi copiado de um SDK legítimo e o campo do autor está vazio.

O segundo pacote Solana , base-x-64, oculta a carga útil com ofuscação. A carga útil envia uma mensagem para o Telegram com a chave roubada.

O pacote bs58-basic não contém nenhum código malicioso em si, mas depende do base-x-64 e passa a carga útil através da cadeia.

O pacote Ethereum , ethersproject-wallet, copia uma biblioteca real, @ethersproject/wallet. O pacote malicioso insere uma linha extra após a compilação. A alteração aparece apenas no arquivo compilado, o que confirma a adulteração manual.

Todos os pacotes compartilham o mesmo endpoint de comando, erros de digitação e artefatos de compilação. Dois pacotes usam arquivos compiladosdent. Um terceiro pacote depende diretamente do primeiro. Esses links apontam para um único ator que utiliza o mesmo fluxo de trabalho.

Solicitações de remoção foram enviadas ao npm por pesquisadores de segurança. As chaves privadas perdidas neste ataque estão comprometidas e quaisquer fundos associados devem ser transferidos rapidamente para uma nova carteira.