Разработчики Solanaи Ethereum подверглись атаке из-за пакетов npm, содержащих опечатку (typosquat)

Разработчики Ethereum и Solana стали жертвами пяти вредоносных npm-пакетов, которые крадут закрытые ключи и отправляют их злоумышленнику. Эти пакеты используют метод тайпсквоттинга, имитируя легитимные криптографические библиотеки.

Специалисты по безопасности из Socket обнаружили пять вредоносных пакетов npm, опубликованных под одной учетной записью. Вредоносная кампания охватывает экосистемы Ethereum и Solana , используя активную инфраструктуру управления и контроля (C2).

Один из пакетов был удален из сети в течение пяти минут, но он скрывал свой код и отправлял украденные данные злоумышленнику.

Хакеры атаковали разработчиков Ethereum и Solana

Криптовалютные хакеры не только на розничных инвесторов и пожилых людей. Они используют методы социальной инженерии и тайпсквоттинг, чтобы обмануть разработчиков и украсть их криптовалюту.

Задача вредоносных программ — перенаправить ключи к встроенному боту в Telegram.

Вредоносная атака npm работает за счет перехвата функций, которые разработчики используют для передачи закрытых ключей. При вызове функции пакет отправляет ключ боту злоумышленника в Telegram, прежде чем вернуть ожидаемый результат. Это делает атаку невидимой для ничего не подозревающих разработчиков.

По данным исследователей в области безопасности, четыре пакета нацелены на разработчиков Solana , а один — на разработчиков Ethereum .

Четыре пакета, предназначенные для перехвата вызовов функции Base58 decode() Solana , в то время как пакет ethersproject-wallet предназначен для конструктора кошелька Ethereum .

Все вредоносные пакеты используют глобальную выборку данных (global fetch), для работы которой требуется Node.js версии 18 или выше. В более старых версиях запрос завершается без предупреждения, и данные не похищаются.

Все пакеты отправляют данные на одну и ту же Telegram . Токен бота и идентификатор чата жестко закодированы в каждом пакете, и внешнего сервера нет, поэтому канал работает, пока Telegram-бот находится в сети.

Пакет raydium-bs58 — самый простой. Он модифицирует функцию декодирования и отправляет ключ перед возвратом результата. Файл README скопирован из легитимного SDK, а поле автора пустое.

Второй пакет Solana , base-x-64, скрывает полезную нагрузку с помощью обфускации. Полезная нагрузка отправляет сообщение в Telegram с украденным ключом.

Сам пакет bs58-basic не содержит вредоносного кода, но зависит от base-x-64 и передает полезную нагрузку по всей цепочке.

Пакет Ethereum , ethersproject-wallet, копирует реальную библиотеку @ethersproject/wallet. Вредоносный пакет добавляет одну лишнюю строку после компиляции. Изменение отображается только в скомпилированном файле, что подтверждает ручное вмешательство.

Все пакеты используют одну и ту же конечную точку команды, содержат опечатки и артефакты сборки. Два пакета используютdentскомпилированные файлы. Другой пакет напрямую зависит от первого. Эти ссылки указывают на одного и того же участника, использующего один и тот же рабочий процесс.

Исследователи безопасности направили в npm запросы на удаление контента. Закрытые ключи, утерянные в результате этой атаки, скомпрометированы, и все связанные с ними средства следует незамедлительно перевести на новый кошелек.