Các nhà phát triển Solana và Ethereum gặp phải cuộc tấn công gói npm giả mạo gây nhầm lẫn về chính tả - Coinfea

Các nhà phát triển Ethereum và Solana đã trở thành mục tiêu của năm gói npm độc hại đánh cắp khóa riêng và gửi chúng đến kẻ tấn công. Các gói này dựa vào kỹ thuật typosquatting, bắt chước các thư viện crypto hợp pháp. Các nhà nghiên cứu bảo mật từ Socket đã phát hiện ra năm gói npm độc hại được xuất bản dưới một tài khoản duy nhất.

Chiến dịch độc hại này bao gồm các hệ sinh thái Ethereum và Solana, với hạ tầng chỉ huy và kiểm soát (C2) hoạt động. Một trong các gói đã bị gỡ bỏ trong vòng năm phút, nhưng nó đã giấu mã của mình và gửi dữ liệu bị đánh cắp cho kẻ tấn công. Các hacker dựa vào chiến thuật kỹ thuật xã hội và typosquatting để lừa các nhà phát triển và đánh cắp crypto của họ.

Typosquatting là một chiến thuật mà trong đó các kẻ tấn công tạo ra các gói giả mạo có tên tương tự như các thư viện phổ biến. Các nhà phát triển có thể vô tình cài đặt những gói độc hại này, nghĩ rằng chúng là hợp pháp. Nhiệm vụ của các gói độc hại là chuyển hướng khóa đến một bot Telegram được mã hóa cứng.

Các hacker nhắm mục tiêu vào các nhà phát triển Solana và Ethereum

Cuộc tấn công npm độc hại hoạt động bằng cách móc các hàm mà các nhà phát triển sử dụng để truyền khóa riêng. Khi một hàm được gọi, gói này gửi khóa đến bot Telegram của kẻ tấn công trước khi trả về kết quả mong đợi. Điều này khiến cuộc tấn công trở nên vô hình với các nhà phát triển không biết. Theo các nhà nghiên cứu bảo mật, bốn gói nhắm vào các nhà phát triển Solana, trong khi một gói nhắm vào các nhà phát triển Ethereum.

Bốn gói nhắm vào Solana chặn các cuộc gọi decode() Base58, trong khi gói ethersproject-wallet nhắm vào constructor của Ethereum Wallet. Tất cả các gói độc hại đều dựa vào fetch toàn cầu, yêu cầu Node.js 18 trở lên. Trên các phiên bản cũ hơn, yêu cầu sẽ thất bại một cách lặng lẽ, và không có dữ liệu nào bị đánh cắp. Tất cả các gói đều gửi dữ liệu đến cùng một điểm cuối Telegram.

Mã bot và ID trò chuyện được mã hóa cứng trong mỗi gói, và không có máy chủ bên ngoài, vì vậy kênh hoạt động miễn là bot Telegram vẫn trực tuyến. Gói raydium-bs58 là đơn giản nhất. Nó sửa đổi một hàm decode và gửi khóa trước khi trả về kết quả. README được sao chép từ một SDK hợp pháp, và trường tác giả để trống.

Gói Solana thứ hai, base-x-64, giấu payload bằng cách làm mờ. Payload gửi một tin nhắn đến Telegram với khóa bị đánh cắp. Gói bs58-basic không chứa mã độc hại, nhưng nó phụ thuộc vào base-x-64 và truyền payload qua chuỗi. Gói Ethereum, gói ethersproject-wallet, sao chép một thư viện thực, @ethersproject/wallet. Gói độc hại chèn một dòng bổ sung sau khi biên dịch. Thay đổi chỉ xuất hiện trong tệp đã biên dịch, xác nhận việc can thiệp thủ công.

Tất cả các gói chia sẻ cùng một điểm cuối lệnh, các lỗi chính tả và các sản phẩm xây dựng. Hai gói sử dụng các tệp đã biên dịch giống hệt nhau. Một gói khác phụ thuộc trực tiếp vào gói kia. Những liên kết này chỉ ra một tác nhân duy nhất sử dụng cùng một quy trình làm việc. Các yêu cầu gỡ bỏ đã được gửi đến npm bởi các nhà nghiên cứu bảo mật. Các khóa riêng bị mất do cuộc tấn công này đã bị xâm phạm, và bất kỳ quỹ nào liên quan nên được chuyển nhanh chóng đến một ví mới.