Phân tích sự kiện người dùng Solana bị đánh cắp khóa riêng bởi gói NPM độc hại
Bối cảnh sự kiện
Gần đây, một người dùng đã gặp phải tình trạng bị đánh cắp tài sản sau khi sử dụng một dự án mã nguồn mở. Qua điều tra của đội ngũ an ninh, phát hiện đây là một vụ tấn công liên quan đến gói NPM độc hại. Kẻ tấn công đã giả mạo các dự án hợp pháp trên GitHub, dụ dỗ người dùng tải xuống và chạy chương trình có chứa mã độc, từ đó đánh cắp khóa riêng của ví người dùng.
Phân tích phương pháp tấn công
Đội ngũ an ninh đã tiến hành phân tích sâu về dự án GitHub liên quan. Dự án này mặc dù có số lượng Star và Fork cao, nhưng việc cập nhật mã nguồn lại rất tập trung và thiếu đặc điểm bảo trì liên tục.
Cuộc điều tra sâu hơn phát hiện rằng dự án phụ thuộc vào một gói bên thứ ba đáng ngờ có tên là crypto-layout-utils. Gói này đã bị NPM chính thức gỡ bỏ và phiên bản chỉ định không tồn tại trong lịch sử chính thức.
Kẻ tấn công đã thay đổi tệp package-lock.json, thay thế liên kết tải xuống gói phụ thuộc bằng địa chỉ kho GitHub mà họ kiểm soát, nhằm vượt qua kiểm tra an ninh của NPM.
Tải xuống và phân tích gói phụ thuộc khả nghi này, phát hiện mã của nó đã được mã hóa cao. Sau khi giải mã, xác nhận đây là một gói NPM độc hại, chức năng của nó bao gồm:
Quét các tệp và thư mục nhạy cảm trên máy tính của người dùng
Tìm kiếm nội dung liên quan đến ví hoặc Khóa riêng
Tải thông tin nhạy cảm đã phát hiện lên máy chủ do kẻ tấn công kiểm soát
Ngoài ra, kẻ tấn công còn kiểm soát nhiều tài khoản GitHub để Fork các dự án độc hại, nâng cao độ phổ biến của dự án và mở rộng phạm vi truyền bá.
Ảnh hưởng của cuộc tấn công
Người dùng bị thiệt hại đã chạy một dự án Node.js mang theo phụ thuộc độc hại mà không hề đề phòng, dẫn đến việc lộ khóa riêng của ví và tài sản mã hóa bị đánh cắp.
Thông qua công cụ phân tích trên chuỗi, một phần tài sản bị đánh cắp đã được chuyển đến một nền tảng giao dịch nào đó.
Đề xuất an toàn
Hãy cẩn trọng với các dự án GitHub có nguồn gốc không rõ ràng, đặc biệt là những dự án liên quan đến ví hoặc khóa riêng.
Chạy và gỡ lỗi các dự án không xác định trong môi trường độc lập và không có dữ liệu nhạy cảm.
Các nhà phát triển nên tăng cường kiểm tra an ninh đối với các gói phụ thuộc bên thứ ba.
Người dùng nên thường xuyên cập nhật phần mềm bảo mật và luôn cảnh giác.
Thông tin liên quan
Nhóm an ninh đã xác định nhiều kho GitHub và gói NPM độc hại liên quan đến các cuộc tấn công như vậy. Khuyến nghị các nhà phát triển và người dùng nâng cao cảnh giác, tránh sử dụng những tài nguyên độc hại đã biết này.
Các cuộc tấn công kiểu này kết hợp kỹ thuật xã hội và kỹ thuật, có tính chất ẩn mình và lừa đảo mạnh mẽ. Ngay cả trong nội bộ tổ chức, cũng rất khó để phòng ngừa hoàn toàn các cuộc tấn công kiểu này. Do đó, việc nâng cao nhận thức về an ninh, tăng cường kiểm tra mã và cách ly môi trường trở nên vô cùng quan trọng.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
10 thích
Phần thưởng
10
6
Chia sẻ
Bình luận
0/400
SelfCustodyBro
· 07-24 12:20
sol có đáng tin không
Xem bản gốcTrả lời0
BlockchainArchaeologist
· 07-21 18:31
Lại lật xe nữa rồi? Lỗ hổng bên sol cứ liên tiếp xuất hiện.
Xem bản gốcTrả lời0
BearMarketBuilder
· 07-21 18:23
Sợ quá sợ quá, thời này nhiều sao chỉ là lừa đảo thôi sao?
Xem bản gốcTrả lời0
LiquidatorFlash
· 07-21 18:22
Lưu ý kiểm tra các phụ thuộc bên thứ ba...4.2% khóa riêng đã bị đánh cắp là ranh giới cảnh báo.
Xem bản gốcTrả lời0
TokenToaster
· 07-21 18:14
又 một đồ ngốc上当了
Xem bản gốcTrả lời0
GameFiCritic
· 07-21 18:04
Một vụ lừa đảo nữa lợi dụng danh nghĩa Mã nguồn mở. Phiền bạn phân tích và cung cấp thống kê ROI.
Người dùng Solana bị đánh cắp khóa riêng bởi gói NPM độc hại: Phân tích phương pháp tấn công và biện pháp phòng ngừa
Phân tích sự kiện người dùng Solana bị đánh cắp khóa riêng bởi gói NPM độc hại
Bối cảnh sự kiện
Gần đây, một người dùng đã gặp phải tình trạng bị đánh cắp tài sản sau khi sử dụng một dự án mã nguồn mở. Qua điều tra của đội ngũ an ninh, phát hiện đây là một vụ tấn công liên quan đến gói NPM độc hại. Kẻ tấn công đã giả mạo các dự án hợp pháp trên GitHub, dụ dỗ người dùng tải xuống và chạy chương trình có chứa mã độc, từ đó đánh cắp khóa riêng của ví người dùng.
Phân tích phương pháp tấn công
Đội ngũ an ninh đã tiến hành phân tích sâu về dự án GitHub liên quan. Dự án này mặc dù có số lượng Star và Fork cao, nhưng việc cập nhật mã nguồn lại rất tập trung và thiếu đặc điểm bảo trì liên tục.
Cuộc điều tra sâu hơn phát hiện rằng dự án phụ thuộc vào một gói bên thứ ba đáng ngờ có tên là crypto-layout-utils. Gói này đã bị NPM chính thức gỡ bỏ và phiên bản chỉ định không tồn tại trong lịch sử chính thức.
Kẻ tấn công đã thay đổi tệp package-lock.json, thay thế liên kết tải xuống gói phụ thuộc bằng địa chỉ kho GitHub mà họ kiểm soát, nhằm vượt qua kiểm tra an ninh của NPM.
Tải xuống và phân tích gói phụ thuộc khả nghi này, phát hiện mã của nó đã được mã hóa cao. Sau khi giải mã, xác nhận đây là một gói NPM độc hại, chức năng của nó bao gồm:
Ngoài ra, kẻ tấn công còn kiểm soát nhiều tài khoản GitHub để Fork các dự án độc hại, nâng cao độ phổ biến của dự án và mở rộng phạm vi truyền bá.
Ảnh hưởng của cuộc tấn công
Người dùng bị thiệt hại đã chạy một dự án Node.js mang theo phụ thuộc độc hại mà không hề đề phòng, dẫn đến việc lộ khóa riêng của ví và tài sản mã hóa bị đánh cắp.
Thông qua công cụ phân tích trên chuỗi, một phần tài sản bị đánh cắp đã được chuyển đến một nền tảng giao dịch nào đó.
Đề xuất an toàn
Thông tin liên quan
Nhóm an ninh đã xác định nhiều kho GitHub và gói NPM độc hại liên quan đến các cuộc tấn công như vậy. Khuyến nghị các nhà phát triển và người dùng nâng cao cảnh giác, tránh sử dụng những tài nguyên độc hại đã biết này.
Các cuộc tấn công kiểu này kết hợp kỹ thuật xã hội và kỹ thuật, có tính chất ẩn mình và lừa đảo mạnh mẽ. Ngay cả trong nội bộ tổ chức, cũng rất khó để phòng ngừa hoàn toàn các cuộc tấn công kiểu này. Do đó, việc nâng cao nhận thức về an ninh, tăng cường kiểm tra mã và cách ly môi trường trở nên vô cùng quan trọng.