Вредоносные пакеты загружены на NPM нацелены на кражу приватных ключей evm совместимых сетей
На npm три вредоносных аккаунта загрузили 20 пакетов, которые использовали типографический спуфинг, чтобы подделать легитимные пакеты и обманом заставить людей их установить.
Двадцать вредоносных пакетов, имитирующих среду разработки Hardhat, используемую разработчиками Ethereum, нацелены на приватные ключи и другие конфиденциальные данные.
Вместе эти вредоносные пакеты были загружены более тысячи раз, по словам исследователей.
Целенаправленная кампания
Hardhat — это широко используемая среда разработки Ethereum, поддерживаемая Nomic Foundation. Она используется для разработки, тестирования и развертывания смарт-контрактов и децентрализованных приложений (dApps) на блокчейне Ethereum.
Она обычно используется разработчиками программного обеспечения для блокчейна, финтех-компаниями и стартапами, а также образовательными учреждениями.
Эти пользователи часто получают компоненты своих проектов из npm (Node Package Manager), широко используемого инструмента в экосистеме JavaScript, который помогает разработчикам управлять зависимостями, библиотеками и модулями.
На npm три вредоносных аккаунта загрузили 20 пакетов, которые использовали типографический спуфинг, чтобы подделать легитимные пакеты и обманом заставить людей их установить.
Socket поделился названиями 16 вредоносных пакетов, которые включают:
nomicsfoundations
@nomisfoundation/hardhat-configure
installedpackagepublish
@nomisfoundation/hardhat-config
@monicfoundation/hardhat-config
@nomicsfoundation/sdk-test
@nomicsfoundation/hardhat-config
@nomicsfoundation/web3-sdk
@nomicsfoundation/sdk-test1
@nomicfoundations/hardhat-config
crypto-nodes-validator
solana-validator
node-validators
hardhat-deploy-others
hardhat-gas-optimizer
solidity-comments-extractors
После установки код в этих пакетах пытается собрать приватные ключи Hardhat, конфигурационные файлы и мнемонические фразы, зашифровать их с помощью жестко закодированного AES-ключа и затем передать их злоумышленникам.
"Эти пакеты используют функции среды выполнения Hardhat, такие как hreInit() и hreConfig(), для сбора таких чувствительных данных, как приватные ключи, мнемоники и конфигурационные файлы", — объясняет Socket.
"Собираемые данные передаются на контролируемые злоумышленниками конечные точки, используя заранее установленные ключи и адреса Ethereum для упрощения передачи данных."
Риски безопасности и меры предосторожности
Приватные ключи и мнемонические фразы используются для доступа к кошелькам Ethereum, поэтому первым потенциальным последствием этой атаки может быть потеря средств через инициирование несанкционированных транзакций.
Кроме того, поскольку многие из пострадавших систем принадлежат разработчикам, злоумышленники могут получить несанкционированный доступ к производственным системам и нарушить работу смарт-контрактов или развернуть злонамеренные клоны существующих dApps для подготовки почвы для более масштабных и разрушительных атак.
Конфигурационные файлы Hardhat могут включать API-ключи для сторонних сервисов, а также информацию о разработке сети и конечных точках, и они могут использоваться для подготовки фишинговых атак.
Разработчики программного обеспечения должны проявлять осторожность, проверять подлинность пакетов, быть бдительными в отношении типографического спуфинга и изучать исходный код перед установкой.
Как общее правило, приватные ключи не должны храниться в виде жестко закодированных значений, но должны храниться в защищенных хранилищах.
Для минимизации воздействия таких рисков используйте файлы блокировки, определяйте конкретные версии для ваших зависимостей и используйте как можно меньше зависимостей на практике.
