Análise do incidente de roubo de chave privada de usuários Solana através de pacotes NPM maliciosos
Contexto do evento
Recentemente, um usuário teve seus ativos roubados após usar um determinado projeto de código aberto. Após investigação da equipe de segurança, descobriu-se que se tratava de um ataque envolvendo um pacote NPM malicioso. O atacante disfarçou-se como um projeto legítimo no GitHub, levando o usuário a baixar e executar um programa contendo código malicioso, roubando assim a chave privada da carteira do usuário.
Análise de técnicas de ataque
A equipe de segurança realizou uma análise profunda do projeto do GitHub envolvido. Embora o projeto tenha um número elevado de Stars e Forks, suas atualizações de código são anormalmente concentradas, faltando características de manutenção contínua.
Uma investigação adicional revelou que o projeto dependia de um pacote de terceiros suspeito chamado crypto-layout-utils. Esse pacote foi removido oficialmente pelo NPM e a versão especificada não existe no histórico oficial.
O atacante, ao modificar o arquivo package-lock.json, substituiu os links de download dos pacotes de dependência pelo endereço do repositório GitHub que controla, contornando assim a auditoria de segurança do NPM.
Após baixar e analisar este pacote de dependência suspeito, descobriu-se que seu código estava altamente ofuscado. Após a desofuscação, confirmou-se que este é um pacote NPM malicioso, cujas funções incluem:
Escanear arquivos e diretórios sensíveis no computador do usuário
Procurar conteúdo relacionado a carteiras ou Chave privada
Fazer o upload das informações sensíveis descobertas para um servidor controlado pelo atacante
Além disso, os atacantes também controlavam várias contas do GitHub para Forkear projetos maliciosos, aumentando a popularidade dos projetos e expandindo o alcance da sua disseminação.
Impacto do ataque
Usuários vítimas executaram um projeto Node.js com dependências maliciosas sem qualquer defesa, resultando no vazamento da chave privada da carteira e no roubo de ativos criptográficos.
Através de ferramentas de análise on-chain, parte dos fundos roubados já foi transferida para uma plataforma de negociação.
Sugestões de segurança
Tenha cuidado com projetos do GitHub de origem desconhecida, especialmente aqueles que envolvem operações de carteira ou Chave privada.
Executar e depurar projetos desconhecidos em um ambiente independente e sem dados sensíveis.
Os desenvolvedores devem reforçar a revisão de segurança dos pacotes de dependência de terceiros.
Os usuários devem atualizar regularmente o software de segurança e permanecer vigilantes.
Informação relevante
A equipe de segurança identificou vários repositórios do GitHub e pacotes NPM maliciosos envolvidos neste tipo de ataque. Recomenda-se que desenvolvedores e usuários fiquem atentos e evitem usar esses recursos maliciosos conhecidos.
Este tipo de ataque combina engenharia social e métodos técnicos, apresentando uma forte capacidade de ocultação e engano. Mesmo dentro da organização, é muito difícil defender-se completamente contra este tipo de ataque. Portanto, aumentar a consciência de segurança, reforçar a revisão de código e a separação de ambientes torna-se especialmente importante.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
10 Curtidas
Recompensa
10
7
Repostar
Compartilhar
Comentário
0/400
SelfCustodyBro
· 07-24 12:20
sol é confiável?
Ver originalResponder0
BlockchainArchaeologist
· 07-21 18:31
Mais uma vez? As vulnerabilidades no Sol estão surgindo uma após a outra.
Ver originalResponder0
BearMarketBuilder
· 07-21 18:23
Estou com medo, estou com medo. Nos dias de hoje, há muitas estrelas, será que são todas golpistas?
Ver originalResponder0
LiquidatorFlash
· 07-21 18:22
Atenção para verificar as dependências de terceiros... 4,2% das Chaves privadas foram roubadas, já é um sinal de alerta.
Ver originalResponder0
TokenToaster
· 07-21 18:14
Outra idiota foi enganada.
Ver originalResponder0
GameFiCritic
· 07-21 18:04
Mais um incidente de phishing sob o pretexto de Código aberto. Por favor, ao analisar, poderia fornecer uma estatística de ROI?
Análise sobre o roubo de chave privada de usuários Solana por pacotes NPM maliciosos, técnicas de ataque e medidas de prevenção.
Análise do incidente de roubo de chave privada de usuários Solana através de pacotes NPM maliciosos
Contexto do evento
Recentemente, um usuário teve seus ativos roubados após usar um determinado projeto de código aberto. Após investigação da equipe de segurança, descobriu-se que se tratava de um ataque envolvendo um pacote NPM malicioso. O atacante disfarçou-se como um projeto legítimo no GitHub, levando o usuário a baixar e executar um programa contendo código malicioso, roubando assim a chave privada da carteira do usuário.
Análise de técnicas de ataque
A equipe de segurança realizou uma análise profunda do projeto do GitHub envolvido. Embora o projeto tenha um número elevado de Stars e Forks, suas atualizações de código são anormalmente concentradas, faltando características de manutenção contínua.
Uma investigação adicional revelou que o projeto dependia de um pacote de terceiros suspeito chamado crypto-layout-utils. Esse pacote foi removido oficialmente pelo NPM e a versão especificada não existe no histórico oficial.
O atacante, ao modificar o arquivo package-lock.json, substituiu os links de download dos pacotes de dependência pelo endereço do repositório GitHub que controla, contornando assim a auditoria de segurança do NPM.
Após baixar e analisar este pacote de dependência suspeito, descobriu-se que seu código estava altamente ofuscado. Após a desofuscação, confirmou-se que este é um pacote NPM malicioso, cujas funções incluem:
Além disso, os atacantes também controlavam várias contas do GitHub para Forkear projetos maliciosos, aumentando a popularidade dos projetos e expandindo o alcance da sua disseminação.
Impacto do ataque
Usuários vítimas executaram um projeto Node.js com dependências maliciosas sem qualquer defesa, resultando no vazamento da chave privada da carteira e no roubo de ativos criptográficos.
Através de ferramentas de análise on-chain, parte dos fundos roubados já foi transferida para uma plataforma de negociação.
Sugestões de segurança
Informação relevante
A equipe de segurança identificou vários repositórios do GitHub e pacotes NPM maliciosos envolvidos neste tipo de ataque. Recomenda-se que desenvolvedores e usuários fiquem atentos e evitem usar esses recursos maliciosos conhecidos.
Este tipo de ataque combina engenharia social e métodos técnicos, apresentando uma forte capacidade de ocultação e engano. Mesmo dentro da organização, é muito difícil defender-se completamente contra este tipo de ataque. Portanto, aumentar a consciência de segurança, reforçar a revisão de código e a separação de ambientes torna-se especialmente importante.