SolanaとEthereumの開発者がタイプミス・スクワットnpmパッケージ攻撃を受ける - Coinfea

イーサリアムとソラナの開発者は、プライベートキーを盗み、攻撃者に送信する5つの悪意のあるnpmパッケージの標的となりました。これらのパッケージは、正当な暗号ライブラリを模倣するタイポスコッティングに依存しています。Socketのセキュリティ研究者は、単一のアカウントの下に公開された5つの悪意のあるnpmパッケージを発見しました。

この悪意のあるキャンペーンは、イーサリアムとソラナのエコシステムをカバーしており、アクティブなコマンドおよびコントロール（C2）インフラストラクチャを持っています。パッケージの1つは5分以内に未公開になりましたが、そのコードを隠し、盗まれたデータを攻撃者に送信しました。ハッカーは、ソーシャルエンジニアリングの手法とタイポスコッティングを利用して、開発者を騙し、暗号を盗みました。

タイポスコッティングは、攻撃者が人気のライブラリに似た名前の偽のパッケージを作成する戦術です。開発者は、これらの悪意のあるパッケージを正当なものだと思って誤ってインストールする可能性があります。悪意のあるパッケージの役割は、ハードコーディングされたTelegramボットにキーを転送することです。

ハッカーがソラナとイーサリアムの開発者を標的に

悪意のあるnpm攻撃は、開発者がプライベートキーを渡すために使用する関数をフックすることによって機能します。関数が呼び出されると、パッケージはキーを攻撃者のTelegramボットに送信し、期待される結果を返します。これにより、攻撃は気づかない開発者には見えなくなります。セキュリティ研究者によると、4つのパッケージはソラナの開発者を標的にし、1つはイーサリアムの開発者を標的にしています。

ソラナを標的にした4つのパッケージは、Base58のdecode()呼び出しを傍受し、ethersproject-walletパッケージはイーサリアムウォレットのコンストラクタを標的にします。すべての悪意のあるパッケージは、Node.js 18以降が必要なグローバルフェッチに依存しています。古いバージョンでは、リクエストが静かに失敗し、データは盗まれません。すべてのパッケージは同じTelegramエンドポイントにデータを送信します。

ボットトークンとチャットIDはすべてのパッケージにハードコーディングされており、外部サーバーはないため、Telegramボットがオンラインの間はチャネルが機能します。raydium-bs58パッケージは最も単純です。デコード関数を修正し、結果を返す前にキーを送信します。READMEは正当なSDKからコピーされており、著者フィールドは空です。

2番目のソラナパッケージ、base-x-64は、ペイロードを難読化して隠します。ペイロードは、盗まれたキーを持つメッセージをTelegramに送信します。bs58-basicパッケージ自体には悪意のあるコードは含まれていませんが、base-x-64に依存し、ペイロードをチェーンを通して渡します。イーサリアムパッケージ、ethersproject-walletパッケージは、実際のライブラリ、@ethersproject/walletをコピーします。悪意のあるパッケージは、コンパイル後に1行の追加を挿入します。この変更は、手動の改ざんを確認するコンパイルされたファイルにのみ現れます。

すべてのパッケージは同じコマンドエンドポイント、タイポ、およびビルドアーティファクトを共有しています。2つのパッケージは同一のコンパイルファイルを使用しています。別のパッケージは他のパッケージに直接依存しています。これらのリンクは、同じワークフローを使用している単一のアクターを指し示します。セキュリティ研究者によってnpmに提出された削除リクエストがあります。この攻撃で失われたプライベートキーは危険にさらされており、関連する資金は迅速に新しいウォレットに移動する必要があります。