Вредоносные npm-пакеты угрожают ключам Solana через Gmail

Исследовательская группа Socket по изучению угроз выявила серьезную уязвимость, связанную с вредоносными пакетами npm. Эти пакеты, замаскированные под легитимные инструменты, предназначены для утечки личных ключей пользователей криптовалютной сети Solana через Gmail. На фоне растущего интереса к децентрализованным финансам (DeFi) данная проблема вызывает серьезные опасения у разработчиков и пользователей.
Краткий обзор вредоносных пакетов
Вредоносные пакеты включают:
@async-mutex/взаимообменdexscreenersolana-transaction-toolkitsolana-stable-web-huks
Каждый из этих пакетов не только крадет секретные ключи Solana, но и может опустошить кошельки жертв.
Тактики и методы злоумышленников
По информации исследователей, пакеты были созданы двумя хакерами, использующими аналогичные тактики, методы и процедуры (TTP). Они применяют код, который перехватывает приватные ключи при взаимодействии с кошельками, отправляет их через SMTP-серверы Gmail и передает злоумышленникам. Это затрудняет обнаружение утечек данных, поскольку системы безопасности менее склонны блокировать трафик, исходящий от smtp.gmail.com.
Замаскированные под легитимные утилиты
Хакеры используют следующие приемы для маскировки своих пакетов:
- Пакет
@async-mutex/взаимообменпредставляет собой искажённую версию популярного инструментаasync-mutex, содержащую вредоносный код. dexscreenerзамаскирован под инструмент для доступа к данным о ликвидности децентрализованной биржи.
Эти пакеты используют адреса Gmail для отправки захваченных данных, такие как vision.high.ever@gmail.com и james.liu.vectorspace@gmail.com.
Глубже в кампанию злоумышленников
Пакеты solana-transaction-toolkit и solana-stable-web-huks выпущены под регистрационным псевдонимом solana-web-stable-huks. Они не только крадут приватные ключи, но и автоматически передают данные о содержимом кошелька злоумышленникам. Эти пакеты были загружены более 130 раз и используют nodemailer для отправки секретных ключей через Gmail.
Хакеры используют следующие адреса Gmail для извлечения личной информации: qadeerkhanr5@gmail.com и czhanood@gmail.com.
Предупреждение для разработчиков
Разработчики должны быть особенно осторожны с ресурсами, связанными с Solana на платформах npm и GitHub. Исследование выявило, что один и тот же хакер стоит за двумя репозиториями на GitHub — moonshot-wif-hwan и Diveinprogramming, которые также связаны с вредоносными пакетами npm.
Среди вредоносного кода, найденного в этих репозиториях, присутствуют скрипты для автоматизации действий в DeFi-приложениях. Например, торговый бот, представленный в репозитории moonshot-wif-hwan/pumpfun-bump-script-bot, содержит вредоносный код из пакета solana-stable-web-huks.
Заключение
Кампания по распространению вредоносного ПО активно продолжается. Разработчикам необходимо проявлять повышенное внимание к доступным им ресурсам и проверять достоверность информации, чтобы избежать нежелательной установки вредоносных пакетов.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



