Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Вредоносные npm-пакеты угрожают безопасности пользователей Solana

1
2 мин
Исследовательская группа Socket обнаружила серию вредоносных пакетов в реестре npm, которые нацелены на пользователей Solana. Эти пакеты, маскирующиеся под легитимные инструменты, предназначены для кражи личных ключей и опустошения кошельков жертв через Gmail. Вредоносные пакеты, такие как @async-mutex/взаимообмен, dexscreener, solana-transaction-toolkit и solana-stable-web-huks, были разработаны двумя хакерами, использующими схожие тактики, методы и процедуры (TTP). Эти продукция работает следующим образом: Пакеты были замаскированы под полезные инструменты, например, @async-mutex/взаимообмен выдавался за исправленный и обновлённый пакет async-mutex. Глядя на статистику, можно заметить, что оригинальный async-mutex был загружен более 93 миллионов раз, в то время как его вредоносный аналог – всего 240 раз. Пакет dexscreener также masquerades под инструмент для получения данных о ликвидности децентрализованных бирж, но содержит те же вредоносные функции. Хакеры используют адреса Gmail (
Оглавление

Исследовательская группа Socket обнаружила серию вредоносных пакетов в реестре npm, которые нацелены на пользователей Solana. Эти пакеты, маскирующиеся под легитимные инструменты, предназначены для кражи личных ключей и опустошения кошельков жертв через Gmail.

Описание угрозы

Вредоносные пакеты, такие как @async-mutex/взаимообмен, dexscreener, solana-transaction-toolkit и solana-stable-web-huks, были разработаны двумя хакерами, использующими схожие тактики, методы и процедуры (TTP). Эти продукция работает следующим образом:

  • Перехватывают приватные ключи пользователей во время взаимодействия с кошельками;
  • Отправляют украденные ключи через SMTP-серверы Gmail;
  • Передают содержимое кошельков жертв на контролируемые злоумышленником адреса.

Маскировка под легитимные утилиты

Пакеты были замаскированы под полезные инструменты, например, @async-mutex/взаимообмен выдавался за исправленный и обновлённый пакет async-mutex. Глядя на статистику, можно заметить, что оригинальный async-mutex был загружен более 93 миллионов раз, в то время как его вредоносный аналог – всего 240 раз.

Пакет dexscreener также masquerades под инструмент для получения данных о ликвидности децентрализованных бирж, но содержит те же вредоносные функции.

Расследование и активность хакеров

Хакеры используют адреса Gmail (vision.high.ever@gmail.com, james.liu.vectorspace@gmail.com, qadeerkhanr5@gmail.com и czhanood@gmail.com) для извлечения украденных ключей и управления вредоносным ПО. Пакеты solana-transaction-toolkit и solana-stable-web-huks автоматически отправляют приватную информацию и позволяют злоумышленникам манипулировать кошельками.

Проблема легитимности

Благодаря репутации Gmail как надежного сервиса, попытки утечки информации часто не поддаются обнаружению системами безопасности. На данный момент Socket запросил удаление этих пакетов из реестра npm, однако проблема остается актуальной.

Рекомендации для разработчиков

Разработчикам следует быть особенно осторожными при работе с пакеты, связанными с Solana на платформах, как npm, так и GitHub. В частности, важно следить за:

  • Признаками вредоносного кода в репозиториях;
  • Ложными заявлениями о легитимности пакетов;
  • Постоянным мониторингом обновлений и проверкой безопасности используемых инструментов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Вредоносные npm-пакеты угрожают безопасности пользователей Solana".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Гаджеты и электроника
5,73 млн интересуются