网络安全研究人员警告称,针对流行的@solana/web3.js npm 库:https://www.npmjs.com/package/@solana/web3.js 软件供应链攻击涉及推送两个恶意版本,能够窃取用户的私钥,目的是耗尽他们的加密货币钱包。
1.95.6 和 1.95.7 版本中已检测到此攻击。这两个版本都不再可从 npm 注册表下载。该软件包使用广泛,每周下载量超过 40 万次。
Socket在一份报告中表示:“这些被入侵的版本包含注入的恶意代码,旨在从毫无戒心的开发人员和用户那里窃取私钥,从而可能使攻击者窃取加密货币钱包。”
@solana/web3.js 是一个 npm 包,可用于与 Solana JavaScript 软件开发工具包 (SDK)交互,以构建 Node.js 和 Web 应用程序。
据 Datadog 安全研究员Christophe Tafani-Dereeper称,“在 v1.95.7 中插入的后门添加了一个‘addToQueue’函数,该函数可通过看似合法的 CloudFlare 标头窃取私钥”,并且“对该函数的调用随后被插入到(合法)访问私钥的各个位置。”
密钥被泄露到的命令和控制 (C2) 服务器(“sol-rpc[.]xyz”)目前已关闭。该服务器于 2024 年 11 月 22 日在域名注册商 NameSilo 上注册。
怀疑 npm 包的维护者成为网络钓鱼攻击的受害者,威胁行为者借此控制了账户并发布了恶意版本。
该库维护者之一 Steven Luscher在 1.95.8 版本的发布说明中表示:“@solana/web3.js 的发布访问帐户已被盗用,该库是 Solana dApps 常用的一个 JavaScript 库。”
“这允许攻击者发布未经授权和经过修改的恶意程序包,从而允许他们窃取私钥材料并从直接处理私钥的 dApp(如机器人)中抽走资金。此问题不会影响非托管钱包,因为它们通常不会在交易期间暴露私钥。”
Luscher 还指出,该事件仅影响直接处理私钥且在 2024 年 12 月 2 日 UTC 时间下午 3:20 至晚上 8:25 期间更新的项目。
建议依赖@solana/web3.js 作为依赖项的用户尽快更新到最新版本,并且如果他们怀疑自己的授权密钥受到了损害,则可以选择轮换授权密钥。
几天前,Socket 曾警告称,有一个名为 solana-systemprogram-utils 的虚假 Solana 主题 npm 包,其目的是在 2% 的交易中偷偷将用户的资金重新路由到攻击者控制的硬编码钱包地址。
Socket 研究团队表示:“该代码巧妙地掩盖了其意图,98% 的时间正常运行。这种设计最大限度地减少了怀疑,同时仍允许攻击者窃取资金。”
在此之前,还发现了 crypto-keccak、crypto-jsonwebtoken 和 crypto-bignumber 等 npm 包,它们伪装成合法库,但包含窃取凭证和加密货币钱包数据的代码,这再次凸显了威胁行为者如何继续滥用开发人员对开源生态系统的信任。
安全研究员 Kirill Boychenko指出:“该恶意软件通过窃取个人开发者的凭证和钱包数据来威胁他们,这可能导致直接的经济损失。” “对于组织而言,受感染的系统会产生漏洞,这些漏洞可能会蔓延到整个企业环境,从而导致大规模攻击。”
更新
针对@solana/web3.js npm 库的软件供应链攻击已被正式分配 CVE 标识符CVE-2024-54134(CVSS 分数:8.3)。
Solana 研究和开发公司 Anza 发布的根本原因分析显示,攻击始于 2024 年 12 月 3 日,当时一封鱼叉式网络钓鱼电子邮件瞄准了具有发布权限的 @solana npm org 成员,从而允许威胁行为者窃取他们的凭据和双因素身份验证 (2FA) 代码。
“黑客发送了几封电子邮件,邀请他们合作开发一个私人软件包,”安扎说。“邀请函经过精心设计,让人觉得它来自团队的另一名成员。”
“点击后,成功的鱼叉式网络钓鱼活动会将具有发布权限的开发人员路由到黑客控制的 npm 网站的克隆版,开发人员在该网站上输入其 npm 用户名和密码,并完成一轮双因素身份验证。”
根据Solscan和Solana Explorer 的数据,此次攻击导致价值 164,100 美元(674.86 SOL)的加密资产被未经授权转移到对手控制的钱包。
ReversingLabs 首席软件架构师 Tomislav Peričin表示:“针对开源生态系统的大多数软件供应链攻击都依赖社会工程学手段来获得成功。此类攻击的波及范围非常小,在被发现和打击之前,仅影响少数开发人员。”
“这次攻击清楚地提醒我们,人们对软件完整性的信任度已经处于历史最低点,开源安全性比关注新闻和过滤掉新发布或不受信任的软件包更具挑战性。”
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这
