مطورو سولانا وإيثيريوم يتعرضون لهجوم حزم npm المضللة باستخدام أخطاء إملائية - Coinfea

استهدف مطورو إيثيريوم وسولانا من قبل خمسة حزم npm خبيثة تقوم بسرقة المفاتيح الخاصة وإرسالها إلى المهاجم. تعتمد الحزم على نوع من التلاعب بالأسماء، مقلدة المكتبات المشفرة الشرعية. وجد باحثو الأمن من Socket الحزم الخبيثة الخمسة التي نُشرت تحت حساب واحد.

تغطي الحملة الخبيثة نظامي إيثيريوم وسولانا، مع بنية تحتية نشطة للتحكم والقيادة (C2). تم إلغاء نشر إحدى الحزم خلال خمس دقائق، لكنها أخفت رمزها وأرسلت البيانات المسروقة إلى المهاجم. اعتمد القراصنة على أساليب الهندسة الاجتماعية والتلاعب بالأسماء لخداع المطورين وسرقة عملاتهم الرقمية.

التلاعب بالأسماء هو أسلوب حيث يقوم المهاجمون بإنشاء حزم مزيفة تحمل أسماء مشابهة للمكتبات الشعبية. قد يقوم المطورون بتحميل هذه الحزم الخبيثة عن غير قصد، معتقدين أنها شرعية. وظيفة الحزم الخبيثة هي تحويل المفاتيح إلى بوت تلغرام محدد مسبقًا.

يستهدف القراصنة مطوري سولانا وإيثيريوم

تعمل هجمة npm الخبيثة عن طريق ربط الوظائف التي يستخدمها المطورون لتمرير المفاتيح الخاصة. عند استدعاء وظيفة، ترسل الحزمة المفتاح إلى بوت تلغرام الخاص بالمهاجم قبل إرجاع النتيجة المتوقعة. هذا يجعل الهجوم غير مرئي للمطورين غير المدركين. وفقًا لباحثي الأمن، تستهدف أربع حزم مطوري سولانا، بينما تستهدف واحدة مطوري إيثيريوم.

تIntercept الحزم الأربعة التي تستهدف سولانا استدعاءات Base58 decode()، بينما تستهدف حزمة ethersproject-wallet مُنشئ محفظة إيثيريوم. تعتمد جميع الحزم الخبيثة على fetch العالمي، والذي يتطلب Node.js 18 أو أحدث. في الإصدارات الأقدم، تفشل الطلبات بصمت، ولا تُسرق أي بيانات. ترسل جميع الحزم البيانات إلى نفس نقطة نهاية تلغرام.

تم ترميز رمز البوت ومعرف الدردشة في كل حزمة، ولا يوجد خادم خارجي، لذا يعمل القناة طالما أن بوت تلغرام يبقى متصلاً بالإنترنت. حزمة raydium-bs58 هي الأبسط. تقوم بتعديل وظيفة decode وترسل المفتاح قبل إرجاع النتيجة. تم نسخ README من SDK شرعي، وحق المؤلف فارغ.

تخفي الحزمة الثانية من سولانا، base-x-64، الحمولة باستخدام التعتيم. ترسل الحمولة رسالة إلى تلغرام بالمفتاح المسروق. تحتوي حزمة bs58-basic على أي رمز خبيث بنفسها، لكنها تعتمد على base-x-64 وتقوم بتمرير الحمولة عبر السلسلة. حزمة إيثيريوم، ethersproject-wallet، ت复制 مكتبة حقيقية، @ethersproject/wallet. تقوم الحزمة الخبيثة بإدخال سطر إضافي واحد بعد الترجمة. يظهر التغيير فقط في الملف المترجم، مما يؤكد العبث اليدوي.

تشارك جميع الحزم نفس نقطة نهاية الأوامر، والأخطاء الإملائية، ومواد البناء. تستخدم حزمتان ملفات مترجمة متطابقة. تعتمد حزمة أخرى مباشرة على الأخرى. تشير هذه الروابط إلى فاعل واحد يستخدم نفس سير العمل. تم تقديم طلبات إيقاف إلى npm من قبل باحثي الأمن. المفاتيح الخاصة المفقودة في هذا الهجوم معرضة للخطر، وأي أموال مرتبطة بها يجب أن تُنقل بسرعة إلى محفظة جديدة.