Зловредный пакет для кражи криптовалюты атакует разработчиков Web3 в рамках северокорейской операции

Пакет был впервые опубликован 5 июня в 00:45 по GMT+0. Злоумышленники скопировали репозиторий оригинального проекта ethers.js, внеся в него незначительные изменения. В течение дня они выпустили пять версий пакета, постепенно добавляя вредоносный функционал.

Автором пакета значится пользователь kaufman0913 с привязанной почтой kaufman0913@gmail[.]com. В профиле использовано низкокачественное изображение Рапунцель, что выглядит странно, но не является ключевым детектором угрозы.

Основные изменения коснулись файла wallet.ts, отвечающего за работу с криптокошельками. В версии 6.14.5 злоумышленники добавили код, который отправляет приватные ключи на сервер через node-fetch. Изначально URL-адрес был указан как localhost:3000, что позволило исследователям наблюдать за процессом разработки вредоноса.

В следующих версиях (6.14.6 и 6.14.7) атакующие зашифровали целевой URL, но допустили ошибку в его формате - пропустили слеш в протоколе http:/74.119.194[.]244/fetch. Несмотря на попытки скрыть следы, включая удаление отладочных сообщений, уязвимость в коде осталась.

Анализ IP-адреса показал его связь с северокорейской группировкой. Данные VirusTotal и отчеты TrendMicro подтверждают, что этот адрес использовался в операциях, связанных с DPRK (КНДР), включая атаки на крипторазработчиков.

Это не первый случай, когда северокорейские хакеры допускают подобные ошибки. Ранее они уже пытались похищать криптовалютные кошельки, исправляя код в реальном времени. Однако на этот раз их подход стал чуть более изощренным - они сразу добавили node-fetch, избежав проблем с неработающими запросами.

Эксперты рекомендуют разработчикам тщательно проверять зависимости и избегать установки непроверенных пакетов, особенно если они имитируют известные библиотеки.

IPv4

• 74.119.194.244

URL

• http://74.119.194.244/fetch

Emails

• [email protected]

Package

• web3-wrapper-ethers