近日,研究人員發現,有大量的惡意npm軟件包,它們冒充以太坊開發者使用的Hardhat開發環境,正在竊取私鑰和其他敏感數據。研究人員稱,這些惡意軟件包總共被下載了一千多次。
針對性攻擊活動 Hardhat是由Nomic Foundation維護的、廣泛用于以太坊開發的工具,它可用于在以太坊區塊鏈上開發、測試和部署智能合約以及去中心化應用程序(dApps)。通常,區塊鏈軟件開發者、金融科技公司、初創企業和教育機構會使用它。
這些用戶往往會通過npm(Node Package Manager,JavaScript生態系統里廣泛使用的工具,用于管理依賴項、庫和模塊)獲取項目組件。
在npm平臺上,三個惡意賬戶上傳了20個信息竊取包。這些包采用“拼寫錯誤偽裝”(typosquatting)手段冒充合法包,引誘用戶安裝。Socket列出了16個惡意包的名稱,包括:
- nomicsfoundations
- @nomisfoundation/hardhat - configure
- installedpackagepublish
- @nomisfoundation/hardhat - config
- @monicfoundation/hardhat - config
- @nomicsfoundation/sdk - test
- @nomicsfoundation/hardhat - config
- @nomicsfoundation/web3 - sdk
- @nomicsfoundation/sdk - test1
- @nomicfoundations/hardhat - config
- crypto - nodes - validator
- solana - validator
- node - validators
- hardhat - deploy - others
- hardhat - gas - optimizer
- solidity - comments - extractors
一旦安裝這些包,其中的代碼就會嘗試收集Hardhat的私鑰、配置文件以及助記詞,然后用硬編碼的AES密鑰進行加密,再傳輸給攻擊者。
Socket解釋說:“這些包借助Hardhat運行時環境,通過 hreInit() 和 hreConfig() 等函數收集私鑰、助記詞和配置文件等敏感信息,然后利用硬編碼的密鑰和以太坊地址將這些數據高效地泄露出去。”
安全風險與緩解措施 私鑰和助記詞用于訪問以太坊錢包,所以此次攻擊首先可能導致的后果是發起未經授權的交易從而使資金遭受損失。而且,由于許多受感染的系統屬于開發者,攻擊者可能會未經授權訪問生產系統,破壞智能合約或者部署現有dApp的惡意克隆,為大規模攻擊做準備。
Hardhat配置文件可能包含第三方服務的API密鑰以及開發網絡和端點的信息,這些信息可能被用于開展釣魚攻擊。
軟件開發者要謹慎行事,在安裝前驗證軟件包的真實性,警惕拼寫錯誤偽裝并查看源代碼。一般來說,私鑰不應進行硬編碼,而應存儲在安全的保險庫之中。
為降低此類風險,建議使用鎖定文件(lock files),為依賴項指定特定版本并且盡量減少依賴項的使用。
參考來源:https://www.bleepingcomputer.com/news/security/malicious-npm-packages-target-ethereum-developers-private-keys/
