СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
15 июня
#ИБ

Мошеннические npm-пакеты атакуют блокчейн-разработчиков и криптокошельки

Специалисты по кибербезопасности выявили новую кампанию по компрометации цепочки поставок software, нацеленную на криптовалютную экосистему. Под ударом оказались blockchain developers, Web3 projects и operators of cryptocurrency wallets: злоумышленники распространяли вредоносные npm packages, замаскированные под легитимные инструменты для разработчиков.

Всего исследователи обнаружили 11 подозрительных packages. Наибольшее внимание привлек moralis-sdk, который, по данным анализа, набрал более 2,7 million downloads. Такой охват резко повышает потенциальный ущерб кампании и делает ее особенно опасной для разработчиков, работающих с crypto-инфраструктурой.

Как действовала кампания

По данным отчета, злоумышленники использовали сразу несколько техник:

  • typosquatting — подмена названий популярных packages;
  • злоупотребление npm lifecycle hooks;
  • многоэтапный механизм доставки malware;
  • скрытую загрузку дополнительных payloads;
  • кражу credentials и wallet data;
  • remote code execution в рамках вредоносной цепочки.

Особую опасность представляли пакеты ethers-jss и coinbase-wallet-utils. Они выдавали себя за legitimate tools, однако были нацелены на кражу конфиденциальной информации, включая private keys и mnemonic phrases. Встроенный в их code malware позволял извлекать и передавать чувствительные данные злоумышленникам.

Как маскировался moralis-sdk

Дополнительный анализ показал, что moralis-sdk изначально был опубликован как harmless version, а затем был weaponized в последующем update. В его postinstall script содержался encrypted JavaScript, предназначенный для скрытой загрузки и выполнения дополнительных payloads.

Для маскировки своей активности злоумышленники полагались на several legitimate services, что затрудняло обнаружение вредоносной активности и усложняло атрибуцию инцидента.

Ключевая особенность этой кампании — сочетание традиционных методов supply chain attack с инфраструктурой, которую злоумышленники старались максимально «растворить» среди легитимных сервисов.

Blockchain как инструмент для кражи данных

Некоторые packages в этом кластере использовали особенно необычный подход: они скрывали украденные credentials внутри Ethereum transactions. Такой метод позволял замаскировать перемещение данных под обычную активность в blockchain-сети и осложнял расследование.

Кроме того, кампания демонстрировала использование decentralized infrastructure для command-and-control. Это означало, что malware могло динамически обновлять способы связи через blockchain requests, что значительно усложняет detection и blocking.

Другие затронутые packages

Еще два вредоносных пакета — hardhat-deploy-utils и defi-sdk-core — участвовали в краже учетных данных. Они злоупотребляли процессом установки npm, чтобы извлекать:

  • environment variables;
  • developer credentials;
  • другие конфиденциальные данные, доступные в среде сборки.

Таким образом, атака была направлена не только на конечные кошельки, но и на инфраструктуру разработки, где могут храниться критически важные секреты.

Что это означает для разработчиков

Эксперты подчеркивают, что кампания отражает эволюцию tactics, применяемых в supply chain attacks. Злоумышленники все чаще делают ставку на assets, связанные с cryptocurrency, поскольку успешная компрометация разработчика или проекта Web3 может дать им доступ к дорогостоящим данным и активам.

На фоне широкого распространения вредоносных packages специалисты призывают к более строгому управлению dependencies и регулярным security audits open source-пакетов. Не менее важно повышать awareness разработчиков о рисках, связанных с цепочкой поставок software.

Вывод

Новая кампания показывает, насколько опасными становятся атаки на software supply chain в crypto-сегменте. Использование npm packages, blockchain-based exfiltration и decentralized command-and-control делает такие операции особенно трудными для обнаружения и нейтрализации.

Главный вывод отчета: защита современных development environments требует не только технического контроля зависимостей, но и постоянной кибергигиены, внимательной проверки packages и готовности противостоять все более сложным атакам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: