Атака на платформы Nomic Foundation и Hardhat, использующиеся разработчиками Ethereum, была обнаружена. Злоумышленники проникли в эти платформы через вредоносные пакеты npm, выдавая себя за легитимные плагины. В результате атаки были похищены конфиденциальные данные, такие как приватные ключи и мнемоники.
Описание
Анализ Ethereum-адресов, связанных с атакой, позволил выявить ряд ключевых моментов. Злоумышленники использовали смарт-контракты Ethereum для получения адресов C2-серверов, используя децентрализованную и неизменяемую природу блокчейна. В результате были выявлены конкретные адреса кошельков Ethereum, связанные с атакой.
Атакующие используют имперсонацию, имитируя названия легитимных плагинов и организаций, чтобы внедриться в цепочку поставок. Использование похожих имен и функциональности плагинов, а также нацеленность на процессы развертывания и тестирования смарт-контрактов, делает вредоносные пакеты похожими на легитимные.
Атака проходит в несколько этапов: сбор конфиденциальных данных, шифрование данных и эксфильтрация данных. Злоумышленники собирают конфиденциальные данные из среды Hardhat и шифруют их с помощью ключа AES. Затем они передают зашифрованные данные на контролируемые ими конечные точки.
Атака имеет серьезные последствия, такие как компрометация конфиденциальных данных, включая приватные ключи и мнемоники. Это подрывает доверие к экосистеме с открытым исходным кодом и может привести к развертыванию вредоносных программ.
Разработчики должны быть особенно внимательны к установке пакетов и следить за подозрительной активностью при использовании Npm пакетов для работы с Ethereum. Необходимо использовать только официальные и проверенные источники пакетов и регулярно обновлять пакеты, чтобы предотвратить возможные уязвимости.
Indicators of Compromise
URLs
- http://t0uxistfm4fo6bg9pjfpdqb1ssyjmfa4.oastify.com
- https://cryptoshiny.com/api
- https://cryptoshiny.com/api/projects/getAddress
- https://cryptoshiny.com/api/projects/setData
- https://pastebin.com/api/api_post.php
- https://projects.cryptosnowprince.com/api
- https://projects.metabest.tech/api