Команда Socket Threat Research Team обнаружила четыре вредоносных npm-пакета, предназначенных для кражи средств с кошельков пользователей блокчейнов Binance Smart Chain (BSC) и Ethereum. Пакеты - pancake_uniswap_validators_utils_snipe (350 загрузок), pancakeswap-oracle-prediction (445), ethereum-smart-contract (305) и env-process (1 054) - суммарно были скачаны более 2 100 раз.
Описание
Злоумышленник, скрывающийся под ником @crypto-exploit, внедрил в эти пакеты обфусцированный JavaScript-код, который при выполнении переводит до 85% средств с кошелька жертвы на подконтрольный адрес. Анализ показал, что код использует заранее заданный контракт 0x71448ec2D9c5fC4978F5A690D5CE11A8669C9D02 и подменяет легитимные операции, такие как валидация токенов или взаимодействие с оракулами.
Особенностью атаки является частичное опустошение кошельков - злоумышленник забирает не все средства, а только 80–85%. Это позволяет избежать подозрений, а также оставляет жертве возможность оплачивать комиссии за транзакции.
Пакеты были загружены в npm 3–4 года назад, причем env-process оказался самым «успешным» с точки зрения числа загрузок. Угроза была передана на рассмотрение npm как вредоносное ПО, однако некоторые пакеты могли оставаться активными длительное время.
Анализ транзакций на Etherscan показал, что связанный с атакой адрес получал переводы в Ethereum, однако общая сумма украденных средств относительно невелика - около $450. Последняя активность по этому адресу была зафиксирована более 1000 дней назад, что может свидетельствовать о прекращении кампании.
Эксперты рекомендуют разработчикам тщательно проверять зависимости в проектах, особенно при работе с криптовалютными кошельками, и использовать инструменты для анализа безопасности открытого кода, такие как Socket, чтобы минимизировать риски подобных атак.
Индикаторы компрометации
Emails
Ethereum wallet
- 0x71448ec2D9c5fC4978F5A690D5CE11A8669C9D02
Malicious Packages
- env-process
- ethereum-smart-contract
- pancake_uniswap_validators_utils_snipe
- pancakeswap-oracle-prediction