Специалисты по кибербезопасности компании Socket выявили масштабную вредоносную кампанию в репозитории npm, направленную на разработчиков Ethereum. Злоумышленники распространили 20 малициозных пакетов, имитирующих популярную среду разработки Hardhat, которые суммарно были загружены более 1000 раз.

Механизм атаки и потенциальные риски

Вредоносные пакеты использовали технику тайпсквоттинга — создания названий, похожих на легитимные библиотеки, чтобы обмануть невнимательных разработчиков. После установки малварь эксплуатировала функции среды выполнения Hardhat, включая hreInit() и hreConfig(), для сбора конфиденциальных данных. Основными целями злоумышленников стали приватные ключи, мнемонические фразы и конфигурационные файлы.

Технические особенности вредоносного кода

Исследователи обнаружили, что похищенные данные шифровались с использованием предустановленного AES-ключа и отправлялись на серверы злоумышленников. В коде также были обнаружены жестко закодированные Ethereum-адреса, предположительно используемые для вывода похищенных криптоактивов.

Потенциальные последствия компрометации

Компрометация систем разработчиков может привести к серьезным последствиям для экосистемы Ethereum: несанкционированному доступу к производственным системам, компрометации смарт-контрактов и развертыванию вредоносных клонов существующих децентрализованных приложений (dApps). Особую опасность представляет доступ к конфигурационным файлам Hardhat, содержащим API-ключи сторонних сервисов и информацию о сетевой инфраструктуре.

Данный инцидент подчеркивает критическую важность тщательной проверки устанавливаемых пакетов и использования инструментов безопасности при разработке блокчейн-приложений. Разработчикам рекомендуется регулярно проводить аудит зависимостей, использовать доверенные источники пакетов и внедрять многоуровневую защиту критической инфраструктуры.