Опасность в экосистеме npm: выявлены вредоносные пакеты для кражи средств с криптовалютных кошельков
Исследовательская группа Socket Threat обнаружила серию вредоносных пакетов npm, которые представляют значительную угрозу для пользователей криптовалютных платформ Ethereum и Binance Smart Chain (BSC). Вредоносные библиотеки способны похитить до 85% средств с целевых криптовалютных кошельков, используя методы социальной инженерии и маскировки под легитимные пакеты.
Основные факты об обнаруженных вредоносных пакетах
- Всего идентифицировано четыре злонамеренных пакета: pancake_uniswap_validators_utils_snipe, pancakeswap-oracle-prediction, ethereum-smart-contract и env-process.
- Количество загрузок всех этих пакетов превысило 2100.
- Автором атак является хакер под псевдонимом @crypto-exploit.
- Вредоносные пакеты содержат функционал для оценки баланса жертвы и автоматического перевода примерно 80% средств на адрес злоумышленника.
Стратегия атаки и технические особенности вредоносных пакетов
Главная методика злоумышленника — это использование опечаток в названиях пакетов, имитирующих популярные и легитимные библиотеки. Такая тактика часто применяется для обмана пользователей, которые случайно устанавливают вредоносный код вместо нужного.
Например, пакет pancake_uniswap_validators_utils_snipe, загруженный 350 раз, был первым из созданных хакером. Самым последним выпущенным стал env-process, который маскируется под важный системный пакет Node.js process — критический для правильной работы функций типа nextTick в безопасных средах.
Технические детали вредоносных скриптов включают:
- Оценку общего баланса целевого кошелька перед началом кражи.
- Перевод около 80% средств на заранее определённый адрес злоумышленника.
- Сохранение в кошельке жертвы суммы, необходимой для оплаты комиссий (gas fees) — это снижает вероятность подозрительных отказов транзакций.
- Использование уязвимостей, связанных с неправильным хранением закрытых ключей в переменных окружения (environment variables).
- Интеграцию механизмов обфускации кода и введение так называемого «законного» функционала, например, метода validateToken(), для обхода систем детекции и снижения подозрений.
Маскировка под легитимные пакеты и психологический обман
Пакет ethereum-smart-contract специально создан так, чтобы вводить пользователей в заблуждение, напоминая легитимный пакет ethereum-smart-contracts, предоставляющий инструменты для работы со смарт-контрактами. При этом злоумышленник использует в коде знакомый вредоносный адрес Ethereum.
Кроме того, применение console logging в скриптах — намеренная стратегия, чтобы имитировать корректную работу программ и отвлечь внимание пользователей и систем безопасности.
Значимость и рекомендации для пользователей
Данная атака подчёркивает важность строгого контроля при установке npm-пакетов, особенно в контексте проектов, связанных с криптовалютами. Рекомендуется:
- Внимательно проверять имена и источники пакетов перед установкой.
- Использовать официальные и проверенные репозитории, а также тайм-штампы обновлений.
- Ограничивать хранение приватных ключей и других чувствительных данных в переменных окружения.
- Подключать механизмы сканирования на наличие вредоносного кода и использовать автоматические системы аудита безопасности.
Как подчеркнули эксперты Socket Threat, такие атаки становятся всё более изощрёнными, и только комплексный подход к безопасности способен защитить пользователей от значительных финансовых потерь.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ угроз: вредоносные npm-пакеты атакуют криптокошельки Ethereum и BSC".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.