Користувачі Solana стали жертвами зловмисного пакету NPM, що викрав Закритий ключ: аналіз методів атаки та заходів захисту

Аналіз інциденту з крадіжкою закритого ключа у користувачів Solana через зловмисний пакет NPM

Контекст події

Нещодавно один користувач зазнав крадіжки активів після використання певного відкритого проекту. Після розслідування командою безпеки було виявлено, що це атака, пов'язана з шкідливими NPM пакунками. Зловмисник, маскуючи легітимний проект на GitHub, спокусив користувача завантажити та запустити програму, що містить шкідливий код, що призвело до крадіжки закритого ключа гаманця користувача.

Зловмисний NPM пакет краде закриті ключі, активи користувачів Solana під загрозою

Аналіз методів атаки

Команда безпеки провела глибокий аналіз відповідного проекту GitHub. Хоча проект має високу кількість зірок та форків, його оновлення коду аномально зосереджені, що вказує на відсутність постійного обслуговування.

Зловмисний NPM пакет краде закритий ключ, активи користувачів Solana були вкрадені

Додаткове розслідування показало, що проект залежить від підозрілого стороннього пакету під назвою crypto-layout-utils. Цей пакет був видалений з NPM, а вказана версія відсутня в офіційній історії.

Зловмисний пакет NPM краде закритий ключ, активи користувачів Solana під загрозою

Зловмисник змінив файл package-lock.json, замінивши посилання для завантаження залежностей на адресу репозиторію GitHub, яким він контролює, обійшовши безпекову перевірку NPM.

Шкідливий пакет NPM викрадає закриті ключі, активи користувачів Solana під загрозою

Після завантаження та аналізу цього підозрілого пакету залежностей було виявлено, що його код сильно обфускований. Після обфускації підтверджено, що це шкідливий NPM пакет, функції якого включають:

  1. Проскануйте чутливі файли та каталоги на комп'ютері користувача
  2. Шукати вміст, пов'язаний з гаманцем або Закритим ключем.
  3. Завантажте виявлену чутливу інформацію на сервер, контрольований зловмисником

Зловмисний NPM пакет краде закритий ключ, активи користувачів Solana зазнають крадіжки

Крім того, зловмисники контролювали кілька облікових записів GitHub, щоб Fork зловмисні проекти, підвищуючи їх популярність та розширюючи області поширення.

Зловмисний NPM пакет викрав закритий ключ, активи користувачів Solana були вкрадені

Вплив атаки

Постраждалі користувачі без жодної підготовки запустили проект Node.js з шкідливими залежностями, що призвело до витоку закритого ключа гаманця та крадіжки криптоактивів.

Завдяки інструментам аналізу на ланцюгу, частина вкрадених коштів була переміщена на певну торгову платформу.

Шкідливий пакет NPM краде закритий ключ, активи користувачів Solana під загрозою

Рекомендації щодо безпеки

  1. Обережно ставтеся до проектів GitHub з невідомим походженням, особливо до проектів, що стосуються роботи з гаманцями або Закритими ключами.
  2. Запускати та відлагоджувати невідомі проекти в незалежному середовищі без чутливих даних.
  3. Розробники повинні посилити безпековий аудит сторонніх залежностей.
  4. Користувачі повинні регулярно оновлювати програмне забезпечення безпеки та бути насторожі.

Зловмисний пакет NPM викрадає закриті ключі, активи користувачів Solana під загрозою

Пов'язана інформація

Команда безпеки виявила кілька репозиторіїв GitHub та шкідливих пакетів NPM, пов'язаних з такими атаками. Рекомендується розробникам та користувачам бути обережними та уникати використання цих відомих шкідливих ресурсів.

Зловмисний пакет NPM краде закритий ключ, активи користувачів Solana були вкрадені

Такі атаки поєднують соціальну інженерію та технічні засоби, мають високу прихованість і обманність. Навіть усередині організації досить важко повністю захиститися від таких атак. Тому підвищення обізнаності про безпеку, посилення перевірки коду та ізоляція середовища є особливо важливими.

Зловмисний NPM пакет викрадає закритий ключ, активи користувачів Solana зазнають крадіжки

Зловмисний пакет NPM краде закритий ключ, активи користувачів Solana зазнали крадіжки

SOL-2.83%
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
  • Нагородити
  • 7
  • Репост
  • Поділіться
Прокоментувати
0/400
SelfCustodyBrovip
· 07-24 12:20
sol чи це нормально
Переглянути оригіналвідповісти на0
BlockchainArchaeologistvip
· 07-21 18:31
Ще одна проблема? У sol знову проблеми з безпекою.
Переглянути оригіналвідповісти на0
BearMarketBuildervip
· 07-21 18:23
Боюсь, боюся, в ці часи, якщо зірок багато, то це шахраї?
Переглянути оригіналвідповісти на0
LiquidatorFlashvip
· 07-21 18:22
Зверніть увагу на перевірку сторонніх залежностей...4,2% Закритих ключів було вкрадено, це вже є попереджувальною лінією.
Переглянути оригіналвідповісти на0
TokenToastervip
· 07-21 18:14
Ще один невдаха попався.
Переглянути оригіналвідповісти на0
GameFiCriticvip
· 07-21 18:04
Ще одна риболовля під виглядом відкритого вихідного коду. Будь ласка, під час аналізу надайте статистику ROI.
Переглянути оригіналвідповісти на0
  • Закріпити