Κακόβουλα npm πακέτα απειλούν ιδιωτικά κλειδιά Ethereum

Είκοσι κακόβουλα πακέτα που υποδύονται το περιβάλλον ανάπτυξης Hardhat που χρησιμοποιείται από προγραμματιστές του Ethereum στοχεύουν ιδιωτικά κλειδιά και άλλα ευαίσθητα δεδομένα.

Συλλογικά, τα κακόβουλα πακέτα έχουν καταγράψει περισσότερες από χίλιες λήψεις, λένε οι ερευνητές.

Καμπάνια περιορισμένης στόχευσης

Το Hardhat είναι ένα ευρέως χρησιμοποιούμενο περιβάλλον ανάπτυξης Ethereum που διατηρείται από το Nomic Foundation. Χρησιμοποιείται για την ανάπτυξη, τη δοκιμή και την ανάπτυξη έξυπνων συμβολαίων και αποκεντρωμένων εφαρμογών (dApps) στο blockchain Ethereum.

Χρησιμοποιείται γενικά από προγραμματιστές λογισμικού blockchain, εταιρείες fintech και startups και εκπαιδευτικά ιδρύματα.

Αυτοί οι χρήστες συχνά προμηθεύονται τα στοιχεία του έργου τους από το npm (Note Package Manager), ένα ευρέως χρησιμοποιούμενο εργαλείο στο οικοσύστημα JavaScript που βοηθά τους προγραμματιστές να διαχειρίζονται εξαρτήσεις, βιβλιοθήκες και λειτουργικές μονάδες.

Στις npm, τρεις κακόβουλοι λογαριασμοί ανέβασαν 20 πακέτα κλοπής πληροφοριών που χρησιμοποιούσαν το typosquatting για να μιμηθούν τα νόμιμα πακέτα και να εξαπατήσουν τους ανθρώπους να τα εγκαταστήσουν.

Το Socket μοιράστηκε τα ονόματα 16 κακόβουλων πακέτων, τα οποία είναι:

1. νομικά ιδρύματα
2. @nomisfoundation/hardhat-configure
3. installedpackagepublish
4. @nomisfoundation/hardhat-config
5. @monicfoundation/hardhat-config
6. @nomicsfoundation/sdk-test
7. @nomicsfoundation/hardhat-config
8. @nomicsfoundation/web3-sdk
9. @nomicsfoundation/sdk-test1
10. @nomicfoundations/hardhat-config
11. crypto-nodes-validator
12. solana-validator
13. κόμβοι-επικυρωτές
14. hardhat-αναπτύξτε-άλλοι
15. hardhat-gas-optimizer
16. στιβαρότητα-σχόλια-εξαγωγείς

Μόλις εγκατασταθεί, ο κώδικας σε αυτά τα πακέτα προσπαθεί να συλλέξει ιδιωτικά κλειδιά Hardhat, αρχεία διαμόρφωσης και μνημονικά, να τα κρυπτογραφήσει με ένα κλειδί AES με σκληρό κώδικα και, στη συνέχεια, να τα εκτοπίσει στους εισβολείς.

“Αυτά τα πακέτα εκμεταλλεύονται το περιβάλλον χρόνου εκτέλεσης Hardhat χρησιμοποιώντας λειτουργίες όπως hreInit() και hreConfig() για τη συλλογή ευαίσθητων λεπτομερειών όπως ιδιωτικά κλειδιά, μνημονικά και αρχεία διαμόρφωσης.” εξηγεί ο Socket.

«Τα δεδομένα που συλλέγονται μεταδίδονται σε τερματικά σημεία που ελέγχονται από τους εισβολείς, αξιοποιώντας σκληρά κωδικοποιημένα κλειδιά και διευθύνσεις Ethereum για βελτιστοποιημένη εξαγωγή».

Κίνδυνοι ασφάλειας και μετριασμούς

Τα ιδιωτικά κλειδιά και τα μνημονικά χρησιμοποιούνται για την πρόσβαση στα πορτοφόλια Ethereum, επομένως η πρώτη πιθανή συνέπεια αυτής της επίθεσης είναι η απώλεια κεφαλαίων μέσω της έναρξης μη εξουσιοδοτημένων συναλλαγών.

Επιπλέον, δεδομένου ότι πολλά από τα παραβιασμένα συστήματα ανήκουν σε προγραμματιστές, οι εισβολείς θα μπορούσαν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε συστήματα παραγωγής και να θέσουν σε κίνδυνο έξυπνες συμβάσεις ή να αναπτύξουν κακόβουλους κλώνους υπαρχόντων dApps για να δημιουργήσουν το έδαφος για πιο αποτελεσματικές επιθέσεις ευρείας κλίμακας.

Τα αρχεία διαμόρφωσης Hardhat μπορούν να περιλαμβάνουν κλειδιά API για υπηρεσίες τρίτων, καθώς και πληροφορίες σχετικά με το δίκτυο ανάπτυξης και τα τελικά σημεία, και μπορούν να αξιοποιηθούν για την προετοιμασία επιθέσεων phishing.

Οι προγραμματιστές λογισμικού θα πρέπει να είναι προσεκτικοί, να επαληθεύουν την αυθεντικότητα του πακέτου, να είναι επιφυλακτικοί με το typosquatting και να επιθεωρούν τον πηγαίο κώδικα πριν από την εγκατάσταση.

Ως γενική σύσταση, τα ιδιωτικά κλειδιά δεν πρέπει να είναι κωδικοποιημένα αλλά να αποθηκεύονται σε ασφαλή θησαυροφυλάκια.

Για να ελαχιστοποιήσετε την έκθεση σε τέτοιους κινδύνους, χρησιμοποιήστε αρχεία κλειδώματος, ορίστε συγκεκριμένες εκδόσεις για τις εξαρτήσεις σας και χρησιμοποιήστε όσο το δυνατόν λιγότερες.