Главная страница » IOC
0
5 месяцев
IOC

Троянские форки Ethers на npm пытаются украсть приватные ключи Ethereum

security

Автоматизированная платформа Phylum заметила несколько подозрительных пакетов на npm, которые являются частью новой атаки. После расследования было обнаружено, что эти пакеты пытаются получить приватные ключи Ethereum и SSH-доступ к машине жертвы. Атака использует подход, отличающийся от предыдущих, поскольку злоумышленники стараются скрыть свой вредоносный код, чтобы не вызывать подозрений. Они делают все возможное, чтобы код выглядел законно и безопасно. Один из злоумышленников зарегистрировал домен ether-sign.com, который также встречается в коде.

Описание

В отличие от предыдущих атак, которые использовали инструменты установки, эта атака требует от разработчика использования вредоносной библиотеки. Злоумышленники предполагают, что жертва будет использовать библиотеку ethers как обычно. В примере показано, как создать новый экземпляр кошелька с использованием закрытого ключа. Однако, при ближайшем рассмотрении файлов вредоносной библиотеки, можно заметить некоторые различия, которые позволяют злоумышленникам получить доступ к приватным ключам.

Злоумышленники вводят дополнительную проверку в коде, чтобы узнать, является ли ключ строкой (что является верным в случае закрытого ключа). Если это так, то вызывается другая функция checkAddress из файла transaction/index.js. После более детального рассмотрения этого файла обнаруживается, что он имеет некоторые изменения по сравнению с оригинальным файлом. Эти изменения позволяют злоумышленникам получить доступ к приватным ключам и SSH-доступу жертвы.

В заключение, эта новая атака использует уловки для получения приватных ключей Ethereum и SSH-доступа к машине жертвы, используя вредоносные пакеты на npm. Злоумышленники стремятся скрыть свой вредоносный код, делая его схожим с легитимными пакетами. При использовании вредоносной библиотеки ethers-mew, злоумышленники вводят дополнительную проверку ключа, что позволяет им получить доступ к приватным ключам и SSH-доступу жертвы. Эта атака требует, чтобы разработчики устанавливали вредоносные библиотеки, поэтому важно быть внимательными при выборе библиотек для использования.

Indicators of Compromise

IPv4

  • 88.99.95.50

Domains

  • ether-sign.com
Комментарии: 0
Похожие записи
0
4 месяца
IOC

Криптобиблиотека Python обновлена для кражи закрытых ключей

security
Автоматическая система обнаружения рисков Phylum заметила, что пакет aiocpa на PyPI был обновлен и содержит вредоносный код, который украдет приватные ключи, утечка которых происходит через Telegram при инициализации криптобиблиотеки.
0
5 месяцев
IOC

Атака на цепочки поставок с использованием смарт-контрактов Ethereum для распространения многоплатформенного вредоносного ПО

security
Недавно исследователи обнаружили новую партию вредоносных пакетов в репозитории npm. Злоумышленники занимаются таймсквоттингом - техникой, при которой они выдают себя за популярные проекты в реестре npm.
0
1 год
IOC

Sophisticated RAT IOCs

security
12 января 2024 года автоматизированная платформа обнаружения рисков Phylum предупредила нас о подозрительной публикации на npm. Пакет "oscompatible" содержал несколько странных двоичных файлов, включая
0
1 год
IOC

SeroXen RAT IOCs

remote access Trojan
6 октября 2023 г. автоматическая платформа обнаружения рисков Phylum предупредила о подозрительной публикации на NuGet. Пройдя через несколько уровней обфускации, Phylum обнаружили, что этот пакет поставляет SeroXen RAT.