Pengembang Solana dan Ethereum mengalami serangan paket npm typo squat - Coinfea

Pengembang Ethereum dan Solana menjadi target oleh lima paket npm jahat yang mencuri kunci pribadi dan mengirimkannya kepada penyerang. Paket-paket tersebut bergantung pada typosquatting, meniru perpustakaan crypto yang sah. Peneliti keamanan dari Socket menemukan lima paket npm jahat yang diterbitkan di bawah satu akun.

Kampanye jahat ini mencakup ekosistem Ethereum dan Solana, dengan infrastruktur perintah dan kontrol (C2) yang aktif. Salah satu paket dihapus dalam waktu lima menit, tetapi menyembunyikan kodenya dan mengirimkan data yang dicuri kepada penyerang. Para peretas bergantung pada taktik rekayasa sosial dan typosquatting untuk menipu pengembang dan mencuri crypto mereka.

Typosquatting adalah taktik di mana penyerang membuat paket palsu dengan nama yang mirip dengan perpustakaan populer. Pengembang mungkin tanpa sengaja menginstal paket jahat ini, berpikir bahwa mereka sah. Tugas paket-paket jahat adalah mengalihkan kunci ke bot Telegram yang telah dikodekan sebelumnya.

Peretas menargetkan pengembang Solana dan Ethereum

Serangan npm jahat ini bekerja dengan mengaitkan fungsi yang digunakan pengembang untuk mengirimkan kunci pribadi. Ketika sebuah fungsi dipanggil, paket tersebut mengirimkan kunci ke bot Telegram penyerang sebelum mengembalikan hasil yang diharapkan. Ini membuat serangan tersebut tidak terlihat oleh pengembang yang tidak menyadari. Menurut peneliti keamanan, empat paket menargetkan pengembang Solana, sementara satu menargetkan pengembang Ethereum.

Empat paket yang menargetkan Solana mengintersepsi panggilan decode() Base58, sementara paket ethersproject-wallet menargetkan konstruktor Ethereum Wallet. Semua paket jahat bergantung pada fetch global, yang memerlukan Node.js 18 atau lebih baru. Pada versi yang lebih lama, permintaan gagal secara diam-diam, dan tidak ada data yang dicuri. Semua paket mengirim data ke endpoint Telegram yang sama.

Token bot dan ID obrolan telah dikodekan di setiap paket, dan tidak ada server eksternal, jadi saluran berfungsi selama bot Telegram tetap online. Paket raydium-bs58 adalah yang paling sederhana. Paket ini memodifikasi fungsi decode dan mengirimkan kunci sebelum mengembalikan hasil. README disalin dari SDK yang sah, dan kolom penulis kosong.

Paket Solana kedua, base-x-64, menyembunyikan payload dengan obfuscation. Payload mengirimkan pesan ke Telegram dengan kunci yang dicuri. Paket bs58-basic tidak mengandung kode jahat itu sendiri, tetapi bergantung pada base-x-64 dan meneruskan payload melalui rantai. Paket Ethereum, paket ethersproject-wallet, menyalin perpustakaan nyata, @ethersproject/wallet. Paket jahat ini menyisipkan satu baris ekstra setelah kompilasi. Perubahan tersebut hanya muncul di file yang telah dikompilasi, yang mengonfirmasi adanya manipulasi manual.

Semua paket berbagi endpoint perintah yang sama, typo, dan artefak build. Dua paket menggunakan file terkompilasi yang identik. Paket lainnya bergantung langsung pada yang lain. Tautan-tautan ini mengarah pada satu aktor yang menggunakan alur kerja yang sama. Permintaan penghapusan telah diajukan ke npm oleh peneliti keamanan. Kunci pribadi yang hilang akibat serangan ini telah dikompromikan, dan dana yang terkait harus segera dipindahkan ke dompet baru.