СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
16 июня
#Dev#ИБ

Анализ web3-wrapper-ethers: угроза кражи ключей от Void Dokkaebi

Вредоносный пакет web3-wrapper-ethers: новая угроза для разработчиков криптовалют

Недавний анализ выявил новый вредоносный пакет с именем web3-wrapper-ethers, который маскируется под законную библиотеку ethers. Этот опасный пакет содержит тщательно запутанный код, рассчитанный на кражу приватных ключей, что представляет серьёзную угрозу для разработчиков, работающих с web3, блокчейн-технологиями и криптовалютными проектами.

Основные выводы расследования

Эксперты провели тщательное сравнение web3-wrapper-ethers с последней официальной версией ethers (6.14.7). Выяснилось, что злоумышленники внесли минимальные изменения, чтобы замаскировать вредоносный функционал:

  • Удалили комментарии и журналы отладки из кода;
  • Сохранили недопустимый URL-адрес, что указывает на недостаточную внимательность к деталям;
  • Переход от использования axios к node-fetch для выполнения сетевых запросов, демонстрируя адаптацию тактики в ответ на предыдущие неудачи.

Подобная поспешность и неаккуратность в оформлении кода была замечена и в прошлых атаках, когда злоумышленники пытались исправлять ошибки в режиме реального времени.

Связь с группировкой Void Dokkaebi и инфраструктурой северокорейских хакеров

Аналитики связали web3-wrapper-ethers с хакерской группой Void Dokkaebi, известной нацеливанием на разработчиков криптовалют с целью вывода средств из web3 и блокчейна.

Дополнительно были обнаружены признаки корреляции с инфраструктурой северокорейских хакеров, включая:

  • Подключения по протоколу RDP (Remote Desktop Protocol) с российских IP-адресов;
  • Индикаторы компрометации (IOCs), подтверждаемые исследованием компании TrendMicro.

Это усиливает опасения, что подобных атак можно ожидать и в будущем с использованием более изощренных методов.

Заключение

Атака через поддельный пакет web3-wrapper-ethers демонстрирует высокую степень угрозы для криптовалютного сообщества, особенно для разработчиков, работающих с web3 и blockchain. Изменения в стратегиях злоумышленников, а также связка с давно известной группировкой Void Dokkaebi и северокорейскими хакерами говорят о том, что эта угроза имеет системный и профессиональный характер.

Рекомендуется всем разработчикам и специалистам по безопасности внимательно проверять используемые пакеты и своевременно обновлять средства защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: