Аналіз інциденту з крадіжкою закритого ключа у користувачів Solana через зловмисний пакет NPM
Контекст події
Нещодавно один користувач зазнав крадіжки активів після використання певного відкритого проекту. Після розслідування командою безпеки було виявлено, що це атака, пов'язана з шкідливими NPM пакунками. Зловмисник, маскуючи легітимний проект на GitHub, спокусив користувача завантажити та запустити програму, що містить шкідливий код, що призвело до крадіжки закритого ключа гаманця користувача.
Аналіз методів атаки
Команда безпеки провела глибокий аналіз відповідного проекту GitHub. Хоча проект має високу кількість зірок та форків, його оновлення коду аномально зосереджені, що вказує на відсутність постійного обслуговування.
Додаткове розслідування показало, що проект залежить від підозрілого стороннього пакету під назвою crypto-layout-utils. Цей пакет був видалений з NPM, а вказана версія відсутня в офіційній історії.
Зловмисник змінив файл package-lock.json, замінивши посилання для завантаження залежностей на адресу репозиторію GitHub, яким він контролює, обійшовши безпекову перевірку NPM.
Після завантаження та аналізу цього підозрілого пакету залежностей було виявлено, що його код сильно обфускований. Після обфускації підтверджено, що це шкідливий NPM пакет, функції якого включають:
Проскануйте чутливі файли та каталоги на комп'ютері користувача
Шукати вміст, пов'язаний з гаманцем або Закритим ключем.
Завантажте виявлену чутливу інформацію на сервер, контрольований зловмисником
Крім того, зловмисники контролювали кілька облікових записів GitHub, щоб Fork зловмисні проекти, підвищуючи їх популярність та розширюючи області поширення.
Вплив атаки
Постраждалі користувачі без жодної підготовки запустили проект Node.js з шкідливими залежностями, що призвело до витоку закритого ключа гаманця та крадіжки криптоактивів.
Завдяки інструментам аналізу на ланцюгу, частина вкрадених коштів була переміщена на певну торгову платформу.
Рекомендації щодо безпеки
Обережно ставтеся до проектів GitHub з невідомим походженням, особливо до проектів, що стосуються роботи з гаманцями або Закритими ключами.
Запускати та відлагоджувати невідомі проекти в незалежному середовищі без чутливих даних.
Розробники повинні посилити безпековий аудит сторонніх залежностей.
Користувачі повинні регулярно оновлювати програмне забезпечення безпеки та бути насторожі.
Пов'язана інформація
Команда безпеки виявила кілька репозиторіїв GitHub та шкідливих пакетів NPM, пов'язаних з такими атаками. Рекомендується розробникам та користувачам бути обережними та уникати використання цих відомих шкідливих ресурсів.
Такі атаки поєднують соціальну інженерію та технічні засоби, мають високу прихованість і обманність. Навіть усередині організації досить важко повністю захиститися від таких атак. Тому підвищення обізнаності про безпеку, посилення перевірки коду та ізоляція середовища є особливо важливими.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
10 лайків
Нагородити
10
7
Репост
Поділіться
Прокоментувати
0/400
SelfCustodyBro
· 07-24 12:20
sol чи це нормально
Переглянути оригіналвідповісти на0
BlockchainArchaeologist
· 07-21 18:31
Ще одна проблема? У sol знову проблеми з безпекою.
Переглянути оригіналвідповісти на0
BearMarketBuilder
· 07-21 18:23
Боюсь, боюся, в ці часи, якщо зірок багато, то це шахраї?
Переглянути оригіналвідповісти на0
LiquidatorFlash
· 07-21 18:22
Зверніть увагу на перевірку сторонніх залежностей...4,2% Закритих ключів було вкрадено, це вже є попереджувальною лінією.
Переглянути оригіналвідповісти на0
TokenToaster
· 07-21 18:14
Ще один невдаха попався.
Переглянути оригіналвідповісти на0
GameFiCritic
· 07-21 18:04
Ще одна риболовля під виглядом відкритого вихідного коду. Будь ласка, під час аналізу надайте статистику ROI.
Користувачі Solana стали жертвами зловмисного пакету NPM, що викрав Закритий ключ: аналіз методів атаки та заходів захисту
Аналіз інциденту з крадіжкою закритого ключа у користувачів Solana через зловмисний пакет NPM
Контекст події
Нещодавно один користувач зазнав крадіжки активів після використання певного відкритого проекту. Після розслідування командою безпеки було виявлено, що це атака, пов'язана з шкідливими NPM пакунками. Зловмисник, маскуючи легітимний проект на GitHub, спокусив користувача завантажити та запустити програму, що містить шкідливий код, що призвело до крадіжки закритого ключа гаманця користувача.
Аналіз методів атаки
Команда безпеки провела глибокий аналіз відповідного проекту GitHub. Хоча проект має високу кількість зірок та форків, його оновлення коду аномально зосереджені, що вказує на відсутність постійного обслуговування.
Додаткове розслідування показало, що проект залежить від підозрілого стороннього пакету під назвою crypto-layout-utils. Цей пакет був видалений з NPM, а вказана версія відсутня в офіційній історії.
Зловмисник змінив файл package-lock.json, замінивши посилання для завантаження залежностей на адресу репозиторію GitHub, яким він контролює, обійшовши безпекову перевірку NPM.
Після завантаження та аналізу цього підозрілого пакету залежностей було виявлено, що його код сильно обфускований. Після обфускації підтверджено, що це шкідливий NPM пакет, функції якого включають:
Крім того, зловмисники контролювали кілька облікових записів GitHub, щоб Fork зловмисні проекти, підвищуючи їх популярність та розширюючи області поширення.
Вплив атаки
Постраждалі користувачі без жодної підготовки запустили проект Node.js з шкідливими залежностями, що призвело до витоку закритого ключа гаманця та крадіжки криптоактивів.
Завдяки інструментам аналізу на ланцюгу, частина вкрадених коштів була переміщена на певну торгову платформу.
Рекомендації щодо безпеки
Пов'язана інформація
Команда безпеки виявила кілька репозиторіїв GitHub та шкідливих пакетів NPM, пов'язаних з такими атаками. Рекомендується розробникам та користувачам бути обережними та уникати використання цих відомих шкідливих ресурсів.
Такі атаки поєднують соціальну інженерію та технічні засоби, мають високу прихованість і обманність. Навіть усередині організації досить важко повністю захиститися від таких атак. Тому підвищення обізнаності про безпеку, посилення перевірки коду та ізоляція середовища є особливо важливими.