Вредоносная кампания npm нацелена на разработчиков Ethereum с поддельными пакетами Hardhat

security IOC

Атака на платформы Nomic Foundation и Hardhat, использующиеся разработчиками Ethereum, была обнаружена. Злоумышленники проникли в эти платформы через вредоносные пакеты npm, выдавая себя за легитимные плагины. В результате атаки были похищены конфиденциальные данные, такие как приватные ключи и мнемоники.

Описание

Анализ Ethereum-адресов, связанных с атакой, позволил выявить ряд ключевых моментов. Злоумышленники использовали смарт-контракты Ethereum для получения адресов C2-серверов, используя децентрализованную и неизменяемую природу блокчейна. В результате были выявлены конкретные адреса кошельков Ethereum, связанные с атакой.

Атакующие используют имперсонацию, имитируя названия легитимных плагинов и организаций, чтобы внедриться в цепочку поставок. Использование похожих имен и функциональности плагинов, а также нацеленность на процессы развертывания и тестирования смарт-контрактов, делает вредоносные пакеты похожими на легитимные.

Атака проходит в несколько этапов: сбор конфиденциальных данных, шифрование данных и эксфильтрация данных. Злоумышленники собирают конфиденциальные данные из среды Hardhat и шифруют их с помощью ключа AES. Затем они передают зашифрованные данные на контролируемые ими конечные точки.

Атака имеет серьезные последствия, такие как компрометация конфиденциальных данных, включая приватные ключи и мнемоники. Это подрывает доверие к экосистеме с открытым исходным кодом и может привести к развертыванию вредоносных программ.

Разработчики должны быть особенно внимательны к установке пакетов и следить за подозрительной активностью при использовании Npm пакетов для работы с Ethereum. Необходимо использовать только официальные и проверенные источники пакетов и регулярно обновлять пакеты, чтобы предотвратить возможные уязвимости.

Indicators of Compromise

URLs

  • http://t0uxistfm4fo6bg9pjfpdqb1ssyjmfa4.oastify.com
  • https://cryptoshiny.com/api
  • https://cryptoshiny.com/api/projects/getAddress
  • https://cryptoshiny.com/api/projects/setData
  • https://pastebin.com/api/api_post.php
  • https://projects.cryptosnowprince.com/api
  • https://projects.metabest.tech/api
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий