Малварь в npm: подмена Flashbots SDK крадёт ключи Ethereum

Четыре вредоносных пакета npm были обнаружены, имитирующих законный Flashbots SDK и нацеленных на кражу учетных данных Ethereum у разработчиков. Самый опасный из них — вредоносный форк класса FlashbotsBundleProvider, сохраняющий совместимость с легитимным API, но внедряющий скрытые функции для похищения средств и перенаправления транзакций в интересах злоумышленников.

Краткое содержание находки

• Четыре пакета маскируются под инструменты Flashbots или под криптографические/утилитарные библиотеки.
• Они собирают закрытые ключи и мнемонические фразы, ориентируясь на переменные окружения разработчиков, особенно те, что используются в MEV-операциях.
• Один пакет автоматически выполняет вредоносный код при создании экземпляра библиотеки, что осложняет обнаружение.
• Четвертый пакет служит средством коммуникации с атакующими, отправляя украденные данные в контролируемый Telegram-чат; соответствующий Telegram-бот пока активен.

Подробное описание вредоносных пакетов

1. Вредоносный форк FlashbotsBundleProvider

Этот пакет представляет наибольшую угрозу. Он сохраняет совместимость с API FlashbotsBundleProvider, что позволяет подменять легитимный модуль без явных ошибок в приложении. Вредоносный код может:

• собирать закрытые ключи и мнемонические фразы;
• перенаправлять транзакции на адреса, контролируемые злоумышленниками;
• манипулировать порядком и содержимым транзакций, затрагивая операции MEV.

2. Пакет под видом криптографической утилиты

На первый взгляд этот модуль выглядит как безопасный инструмент для работы с криптографией, но фактически содержит троян, скрыто выполняющий сбор конфиденциальных данных и передачу их злоумышленнику. Маскировка направлена на введение в заблуждение разработчиков и аудиторских систем.

3. Автозапускающийся клиент Flashbots

Третий пакет позиционируется как клиентская библиотека Flashbots, однако он автоматически выполняет вредоносный код при создании экземпляра класса/объекта. Такая агрессивная стратегия повышает вероятность компрометации даже при ограниченном использовании библиотеки и усложняет обнаружение через стандартные тесты.

4. Коммуникационный пакет под Telegram-утилиту

Четвертый модуль маскируется под универсальную утилиту для работы с Telegram, но служит каналом эксфильтрации: украденные учетные данные отправляются прямо в чат Telegram, контролируемый злоумышленником. По состоянию на момент обнаружения соответствующий Telegram-бот продолжает работать, что позволяет атакующим собирать данные с любых скомпрометированных систем.

«Всеобъемлющий инструментарий злоумышленника подчеркивает необходимость бдительности и надежных мер безопасности в сообществе разработчиков Ethereum», — следует из выводов исследования.

Последствия для пользователей и экосистемы

• Непосредственные финансовые потери: несанкционированный доступ к средствам кошельков и вывод средств.
• Угроза целостности транзакций Ethereum: модификация или перенаправление транзакций MEV в пользу атакующих.
• Компрометация инфраструктуры разработки: утечка секретов через переменные окружения и конфигурационные файлы.
• Рост устойчивости атакующей инфраструктуры за счет активных каналов сбора данных (Telegram-бот).

Рекомендации для разработчиков и команд безопасности

Исходя из характера угрозы, эксперты рекомендуют следующие меры:

• Проверить зависимости проекта: найти и удалить подозрительные пакеты, особенно те, которые имитируют Flashbots или новые/ненужные утилиты.
• Зафиксировать версии зависимостей и использовать lockfiles (package-lock.json, yarn.lock) и политики разрешения зависимостей.
• Провести аудит кода и поставляемых пакетов (SCA — Software Composition Analysis), а также статический и динамический анализ при импорте библиотек.
• Ограничить доступ к секретам: не хранить закрытые ключи и мнемонические фразы в коде или в открытых переменных окружения; использовать секрет-менеджеры и аппаратные кошельки.
• Ротация секретов при подозрении на компрометацию — немедленно менять ключи и фразы, если была обнаружена уязвимость.
• Мониторинг и оповещение: следить за аномалиями в транзакциях, неавторизованными исходящими соединениями и активностью в Telegram-каналах, связанных с проектом.
• Ограничить привилегии сред выполнения и CI/CD: минимизировать права процессов, чтобы снизить последствия внедрения вредоносного кода.

Что делать, если вы подозреваете компрометацию

• Немедленно отключить и удалить подозрительные npm-пакеты.
• Поменять все ключи и мнемонические фразы, которые могли быть скомпрометированы.
• Провести форензический анализ окружения и логов для выявления источника утечки.
• Уведомить сообщество и заинтересованные стороны (включая обмен индикаторами компрометации), чтобы предотвратить дальнейшее распространение.

Вывод

Обнаружение четырех вредоносных пакетов, целенаправленно маскирующихся под инструменты Flashbots и криптоутилиты, демонстрирует растущую сложность атак на экосистему разработки Ethereum. Особая опасность исходит от модулей, поддерживающих совместимость с API и автоматически выполняющих вредоносный код: они могут незаметно похищать секреты и перенаправлять транзакции. Сообщество разработчиков и команды безопасности должны усилить контроль за зависимостями, хранением секретов и мониторингом, чтобы снизить риск подобных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.