Новый npm-пакет polymarket-kit крадёт криптокошельки и облачные ключи, оставляя SSH-ключи разработчика в открытом виде

Атака на цепочку поставок NPM

Исследователи OX Research обнаружили в реестре npm вредоносный пакет polymarket-kit, предназначенный для многоэтапной кражи криптовалютных средств и данных аутентификации. Пакет имитирует библиотеку для работы с платформой Polymarket, популярной среди держателей криптоактивов. Злоумышленник намеренно нацелился на состоятельных пользователей, которым предлагает установить подставную зависимость. Внутри пакета остались приватные SSH-ключи GitLab самого создателя вредоносного ПО - они были вставлены в открытом виде.

Описание

polymarket-kit работает как многоступенчатый дроппер (программа, загружающая и запускающая другое вредоносное ПО). После установки он связывается с сервером svganchordev[.]net, который маскируется под сайт для изображений, и скачивает обфусцированную (запутанную) полезную нагрузку. После деобфускации выяснилось, что в нагрузку встроен полный функционал трояна удалённого доступа (RAT). Через постоянное WebSocket-соединение злоумышленник может выполнять любые команды на заражённой машине.

Первая стадия вредоносной программы нацелена на браузерные расширения для криптокошельков. Malware перебирает все установленные расширения и пытается извлечь и расшифровать их внутренние базы данных. В список целей попали MetaMask, Phantom, TronLink, Coinbase Wallet, OKX Wallet, Trust Wallet и Rabby Wallet. Помимо браузерных решений, пакет ищет на диске десктопные кошельки Exodus, Guarda, Electrum и Atomic Wallet - они жёстко прописаны в коде.

Вторая стадия затрагивает облачных провайдеров. Пакет целенаправленно ищет конфигурационные файлы и токены доступа к Google Cloud, AWS и Azure. Собранные данные - расшифрованные базы кошельков, файлы кошельков и облачные ключи - загружаются на удалённый сервер через то же WebSocket-соединение. Поскольку соединение остаётся постоянным, злоумышленник может в любой момент запустить новую команду, загрузить дополнительные файлы или установить закрепление в системе.

Разобранный [анализ] кода показывает небрежность автора угрозы. Внутри публичного пакета оказались приватные SSH-ключи от GitLab-репозитория разработчика и его публичные ключи. Это позволяет не только идентифицировать атакующего, но и потенциально даёт доступ к другим его проектам. Подобные оплошности встречаются редко, однако в данном случае они не снижают опасность атаки.

Предыдущие варианты этой кампании - пакеты, использующие названия polymarket-*, clob-* и kelly-*, - уже были замечены исследовательскими командами StepSecurity и Panther Labs. Новая версия, polymarket-kit, содержит расширенные техники и более агрессивный функционал. Все версии следует считать опасными.

Риски для владельцев криптовалют крайне высоки. После установки злоумышленник получает полный контроль над системой: может украсть сид-фразы, приватные ключи, пароли от облачных панелей и данные банковских карт, связанных с кошельками. В случае компрометации облачных аккаунтов возможно не только хищение ресурсов, но и развёртывание атак внутри инфраструктуры жертвы.

Пользователям, которые могли установить polymarket-kit или схожие пакеты, необходимо немедленно удалить их через npm uninstall. Следует проверить все криптокошельки на наличие подозрительных транзакций и включить двухфакторную аутентификацию. Для облачных провайдеров стоит перевыпустить ключи доступа и проверить журналы входа.

Эта атака демонстрирует рост сложности угроз в экосистеме Node.js, где злоумышленники всё чаще комбинируют кражу криптоактивов с захватом облачной инфраструктуры. Общедоступные реестры пакетов остаются удобным вектором для целевого фишинга на разработчиков и владельцев криптокошельков. Разработчикам следует проверять происхождение зависимостей и обращать внимание на необычные запросы разрешений при установке.

Индикаторы компрометации

Domain

  • svganchordev.net

Private Key

Public Key

Комментарии: 0