Solana 和 Ethereum 開發者遭受拼寫錯誤的 npm 套件攻擊 - Coinfea

以太坊和索拉納的開發者們遭到五個惡意 npm 套件的攻擊，這些套件竊取私鑰並將其發送給攻擊者。這些套件依賴於拼寫詐騙，模仿合法的加密庫。來自 Socket 的安全研究人員發現這五個惡意的 npm 套件是以單一帳戶發布的。

這場惡意活動涵蓋了以太坊和索拉納生態系統，並擁有活躍的指揮和控制 (C2) 基礎設施。這些套件中的一個在五分鐘內被下架，但它隱藏了其代碼並將竊取的數據發送給攻擊者。黑客依賴社會工程技巧和拼寫詐騙來欺騙開發者並竊取他們的加密貨幣。

拼寫詐騙是一種策略，攻擊者創建與流行庫名稱相似的假套件。開發者可能會誤以為這些惡意套件是合法的而不小心安裝。這些惡意套件的任務是將密鑰轉發到一個硬編碼的 Telegram 機器人。

黑客針對索拉納和以太坊開發者

這次惡意 npm 攻擊通過掛鉤開發者用來傳遞私鑰的函數來運作。當一個函數被調用時，該套件會在返回預期結果之前將密鑰發送到攻擊者的 Telegram 機器人。這使得攻擊對於毫不知情的開發者來說是不可見的。根據安全研究人員的說法，四個套件針對索拉納開發者，而一個針對以太坊開發者。

這四個針對索拉納的套件攔截 Base58 decode() 調用，而 ethersproject-wallet 套件則針對以太坊錢包構造函數。所有的惡意套件都依賴於全局 fetch，這需要 Node.js 18 或更高版本。在較舊版本中，請求會靜默失敗，並且不會竊取任何數據。所有套件都將數據發送到同一 Telegram 端點。

機器人令牌和聊天 ID 在每個套件中都是硬編碼的，並且沒有外部伺服器，因此只要 Telegram 機器人保持在線，該通道就能正常工作。raydium-bs58 套件是最簡單的。它修改了一個解碼函數，並在返回結果之前發送密鑰。README 是從合法的 SDK 複製的，作者字段是空的。

第二個索拉納套件 base-x-64 使用混淆來隱藏有效載荷。有效載荷會向 Telegram 發送一條帶有竊取密鑰的消息。bs58-basic 套件本身不包含惡意代碼，但它依賴於 base-x-64 並通過鏈傳遞有效載荷。以太坊套件 ethersproject-wallet 套件則複製了一個真實的庫 @ethersproject/wallet。該惡意套件在編譯後插入了一行額外的代碼。這個變更僅出現在編譯的文件中，這確認了手動篡改的存在。

所有套件共享相同的指揮端點、拼寫錯誤和構建工件。兩個套件使用相同的編譯文件。另一個套件直接依賴於前者。這些鏈接指向同一個使用相同工作流程的行為者。安全研究人員已向 npm 提交了下架請求。由於這次攻擊而失去的私鑰已經被洩露，任何相關的資金應該迅速轉移到新的錢包中。