恶意NPM包装目标以太坊开发人员的私钥

二十个伪装成以太坊开发者使用的Hardhat开发环境的恶意包正在瞄准私钥和其他敏感数据。

研究人员称，这些恶意包的总下载量超过一千次。

狭义的目标运动

Hardhat是由Nomic基金会维护的一种广泛使用的以太坊开发环境，用于开发、测试和部署智能合约和分布式应用程序（dApps）在以太坊区块链上。

通常由区块链软件开发人员、金融科技公司和初创企业以及教育机构使用。

这些用户通常从npm（注册包管理器）获取项目组件，该工具是JavaScript生态系统中广泛使用的工具，可帮助开发人员管理依赖关系、库和模块。

在npm上，三个恶意账户上传了20个信息泄露包，利用拼写错误欺骗人们安装它们。

Socket共享了16个恶意包的名称，分别是：

nomicsfoundations
@nomisfoundation/hardhat-configure
installedpackagepublish
@nomisfoundation/hardhat-config
@monicfoundation/hardhat-config
@nomicsfoundation/sdk-test
@nomicsfoundation/hardhat-config
@nomicsfoundation/web3-sdk
@nomicsfoundation/sdk-test1
@nomicfoundations/hardhat-config
crypto-nodes-validator
solana-validator
node-validators
hardhat-deploy-others
hardhat-gas-optimizer
solidity-comments-extractors

一旦安装，这些包中的代码将尝试收集Hardhat私钥、配置文件和密钥批记录，并使用固定的AES密钥加密它们，然后将其传输给攻击者。

“这些包利用Hardhat运行时环境中的函数，如hreInit()和hreConfig()，收集敏感信息，如私钥、密钥批记录和配置文件”，Socket解释说。

“收集到的数据通过控制的端点传输，利用固定的密钥和以太坊地址进行流畅的外泄。”

安全风险和缓解措施

私钥和密钥批记录用于访问以太坊钱包，因此这次攻击的首要后果是通过未经授权交易引起资金损失。

此外，由于许多受影响系统属于开发人员，攻击者可以非法访问生产系统，并破坏智能合约或部署已存在dApp的恶意克隆，为更广泛规模的攻击奠定基础。

Hardhat配置文件可包含第三方服务的API密钥以及有关开发网络和终端的信息，并可用于准备欺诈攻击。

开发人员应该谨慎对待，确认包的真实性，提高警惕，防止拼写错误欺骗，并在安装之前检查源代码。

作为一般建议，私钥不应该被固定在代码中，而应该存储在安全的储藏库中。

为了最大限度地减少这些风险，使用锁文件、定义依赖关系的特定版本以及尽可能少地使用它们。