- Регистрация
- 27 Февраль 2018
- Сообщения
- 11 795
- Лучшие ответы
- 0
- Баллы
- 1 293
Offline
В npm нашли сразу 20 вредоносных пакетов, выдающих себя за среду разработки Hardhat, которую используют Ethereum-разработчики. Малварь стремилась похитить у них приватные ключи и другие конфиденциальные данные.
По информации аналитиков Socket, суммарное количество скачиваний вредоносных пакетов превысило 1000 раз.
Hardhat представляет собой популярную среду разработки, поддерживаемую Nomic Foundation. Она применяется для разработки, тестирования и развертывания смарт-контрактов и децентрализованных приложений (dApps) на блокчейне Ethereum. Как правило, она используется блокчейн-разработчиками, финтех-компаниями, а также образовательными учреждениями.
По словам исследователей, три аккаунта загрузили в npm 20 пакетов, нацеленных на кражу данных. Названия этих пакетов эксплуатировали тайпсквоттинг, то есть малварь стремилась выдать себя за легитимные пакеты, обманывая невнимательных пользователей.
В своем отчете специалисты приводят названия 16 вредоносных пакетов:
После установки эти пакеты пытались собрать приватные ключи Hardhat, конфигурационные файлы и так далее, зашифровать данные с помощью жестко закодированного ключа AES, а затем отправить своим операторам.
«Эти пакеты эксплуатируют среду выполнения Hardhat, используя такие функции, как hreInit() и hreConfig(), для сбора конфиденциальных данных, включая приватные ключи, мнемоники и файлы конфигурации, — объясняют в Socket. — Собранные данные передаются на контролируемые злоумышленниками серверы, с использованием жестко закодированных ключей и Ethereum-адресов».
Поскольку многие скомпрометированные системы могли принадлежать разработчикам, злоумышленники могли получить несанкционированный доступ к производственным системам, скомпрометировать смарт-контракты или развернуть вредоносные клоны существующих dApps, чтобы заложить основу для будущих атак.
Кроме того, конфигурационные файлы Hardhat могут содержать ключи API для сторонних сервисов, информацию о сети разработки и эндпооинтах, что так же может быть использовано для подготовки дальнейших фишинговых атак.
По информации аналитиков Socket, суммарное количество скачиваний вредоносных пакетов превысило 1000 раз.
Hardhat представляет собой популярную среду разработки, поддерживаемую Nomic Foundation. Она применяется для разработки, тестирования и развертывания смарт-контрактов и децентрализованных приложений (dApps) на блокчейне Ethereum. Как правило, она используется блокчейн-разработчиками, финтех-компаниями, а также образовательными учреждениями.
По словам исследователей, три аккаунта загрузили в npm 20 пакетов, нацеленных на кражу данных. Названия этих пакетов эксплуатировали тайпсквоттинг, то есть малварь стремилась выдать себя за легитимные пакеты, обманывая невнимательных пользователей.
В своем отчете специалисты приводят названия 16 вредоносных пакетов:
- nomicsfoundations
- @nomisfoundation/hardhat-configure
- installedpackagepublish
- @nomisfoundation/hardhat-config
- @monicfoundation/hardhat-config
- @nomicsfoundation/sdk-test
- @nomicsfoundation/hardhat-config
- @nomicsfoundation/web3-sdk
- @nomicsfoundation/sdk-test1
- @nomicfoundations/hardhat-config
- crypto-nodes-validator
- solana-validator
- node-validators
- hardhat-deploy-others
- hardhat-gas-optimizer
- solidity-comments-extractors
После установки эти пакеты пытались собрать приватные ключи Hardhat, конфигурационные файлы и так далее, зашифровать данные с помощью жестко закодированного ключа AES, а затем отправить своим операторам.
«Эти пакеты эксплуатируют среду выполнения Hardhat, используя такие функции, как hreInit() и hreConfig(), для сбора конфиденциальных данных, включая приватные ключи, мнемоники и файлы конфигурации, — объясняют в Socket. — Собранные данные передаются на контролируемые злоумышленниками серверы, с использованием жестко закодированных ключей и Ethereum-адресов».
Поскольку многие скомпрометированные системы могли принадлежать разработчикам, злоумышленники могли получить несанкционированный доступ к производственным системам, скомпрометировать смарт-контракты или развернуть вредоносные клоны существующих dApps, чтобы заложить основу для будущих атак.
Кроме того, конфигурационные файлы Hardhat могут содержать ключи API для сторонних сервисов, информацию о сети разработки и эндпооинтах, что так же может быть использовано для подготовки дальнейших фишинговых атак.
