Библиотека Solana Web3.js взломана с целью кражи секретных и закрытых ключей

security IOC

Злоумышленники временно взломали Solana JavaScript SDK, а именно библиотеку '@solana/web3.js', в ходе атаки на цепочку поставок, выпустив две вредоносные версии, нацеленные на кражу приватных ключей криптовалют. Библиотека @solana/web3.js получает более 350 000 еженедельных загрузок на npm.

Описание

Компания Socket Security сообщила, что версии 1.95.6 и 1.95.7 библиотеки содержат код, предназначенный для утечки приватных и секретных ключей, что может позволить злоумышленникам вывести средства из кошельков. Предполагается, что атака стала результатом социальной инженерии/фишинга, направленного на сопровождающих официальной библиотеки Web3.js с открытым исходным кодом, которую поддерживает Solana. По словам компании, была взломана учетная запись с доступом к публикации, что позволило злоумышленнику опубликовать эти неавторизованные версии. Вредоносная деятельность была обнаружена в течение нескольких часов, и пострадавшие версии были отменены.

Исследователь DataDog Кристоф Тафани-Дерипер обнаружил, что злоумышленники добавили во взломанные версии библиотек вредоносную функцию «addToQueue», предназначенную для отправки украденных ключей на сервер злоумышленника с помощью заголовков CloudFlare. BleepingComputer сообщила о пяти ключевых местах в библиотеке, где происходят вызовы функции addToQueue, которые легитимно получают доступ к закрытым ключам. Среди скомпрометированных функций - «fromSecretKey()», «fromSeed()», «createInstructionWithPublicKey()», «createInstructionWithPrivateKey()» и конструктор учетной записи. Похищенные ключи отправлялись на конечную точку злоумышленника. Атака была связана с конкретным адресом Solana, на котором на момент составления отчета находилось 674,86 Solana и различные токены.

Indicators of Compromise

Domains

  • sol-rpc.xyz
  • ton-rpc.xyz
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий