Desarrolladores de Solana y Ethereum sufren ataque de paquetes npm de typo squat - Coinfea

Los desarrolladores de Ethereum y Solana fueron objetivo de cinco paquetes maliciosos de npm que roban claves privadas y las envían al atacante. Los paquetes se basan en typosquatting, imitando bibliotecas de criptomonedas legítimas. Investigadores de seguridad de Socket encontraron los cinco paquetes maliciosos publicados bajo una sola cuenta.

La campaña maliciosa abarca los ecosistemas de Ethereum y Solana, con infraestructura activa de comando y control (C2). Uno de los paquetes fue retirado en cinco minutos, pero ocultó su código y envió datos robados al atacante. Los hackers confiaron en tácticas de ingeniería social y typosquatting para engañar a los desarrolladores y robar su criptografía.

El typosquatting es una táctica donde los atacantes crean paquetes falsos con nombres similares a bibliotecas populares. Los desarrolladores pueden instalar accidentalmente estos paquetes maliciosos, pensando que son legítimos. La función de los paquetes maliciosos es desviar claves a un bot de Telegram codificado.

Hackers apuntan a los desarrolladores de Solana y Ethereum

El ataque malicioso de npm funciona al enganchar funciones que los desarrolladores usan para pasar claves privadas. Cuando se llama a una función, el paquete envía la clave al bot de Telegram del atacante antes de devolver el resultado esperado. Esto hace que el ataque sea invisible para los desarrolladores desprevenidos. Según los investigadores de seguridad, cuatro paquetes apuntan a desarrolladores de Solana, mientras que uno apunta a desarrolladores de Ethereum.

Los cuatro paquetes que apuntan a Solana interceptan llamadas a decode() de Base58, mientras que el paquete ethersproject-wallet apunta al constructor de Wallet de Ethereum. Todos los paquetes maliciosos dependen de fetch global, que requiere Node.js 18 o superior. En versiones anteriores, la solicitud falla silenciosamente y no se roba ningún dato. Todos los paquetes envían datos al mismo punto final de Telegram.

El token del bot y el ID de chat están codificados en cada paquete, y no hay un servidor externo, por lo que el canal funciona mientras el bot de Telegram permanezca en línea. El paquete raydium-bs58 es el más simple. Modifica una función de decodificación y envía la clave antes de devolver el resultado. El README es copiado de un SDK legítimo, y el campo del autor está vacío.

El segundo paquete de Solana, base-x-64, oculta la carga útil con ofuscación. La carga útil envía un mensaje a Telegram con la clave robada. El paquete bs58-basic no contiene código malicioso en sí, pero depende de base-x-64 y pasa la carga útil a través de la cadena. El paquete de Ethereum, ethersproject-wallet, copia una biblioteca real, @ethersproject/wallet. El paquete malicioso inserta una línea extra después de la compilación. El cambio aparece solo en el archivo compilado, lo que confirma la manipulación manual.

Todos los paquetes comparten el mismo punto final de comando, errores tipográficos y artefactos de construcción. Dos paquetes utilizan archivos compilados idénticos. Otro paquete depende directamente del otro. Estos enlaces apuntan a un solo actor que utiliza el mismo flujo de trabajo. Se han enviado solicitudes de eliminación a npm por parte de investigadores de seguridad. Las claves privadas perdidas en este ataque están comprometidas, y cualquier fondo asociado debe ser trasladado rápidamente a una nueva billetera.