Специалисты по кибербезопасности компании Socket выявили масштабную вредоносную кампанию в репозитории npm, направленную на разработчиков Ethereum. Злоумышленники распространили 20 малициозных пакетов, имитирующих популярную среду разработки Hardhat, которые суммарно были загружены более 1000 раз.
Механизм атаки и потенциальные риски
Вредоносные пакеты использовали технику тайпсквоттинга — создания названий, похожих на легитимные библиотеки, чтобы обмануть невнимательных разработчиков. После установки малварь эксплуатировала функции среды выполнения Hardhat, включая hreInit() и hreConfig(), для сбора конфиденциальных данных. Основными целями злоумышленников стали приватные ключи, мнемонические фразы и конфигурационные файлы.
Технические особенности вредоносного кода
Исследователи обнаружили, что похищенные данные шифровались с использованием предустановленного AES-ключа и отправлялись на серверы злоумышленников. В коде также были обнаружены жестко закодированные Ethereum-адреса, предположительно используемые для вывода похищенных криптоактивов.
Потенциальные последствия компрометации
Компрометация систем разработчиков может привести к серьезным последствиям для экосистемы Ethereum: несанкционированному доступу к производственным системам, компрометации смарт-контрактов и развертыванию вредоносных клонов существующих децентрализованных приложений (dApps). Особую опасность представляет доступ к конфигурационным файлам Hardhat, содержащим API-ключи сторонних сервисов и информацию о сетевой инфраструктуре.
Данный инцидент подчеркивает критическую важность тщательной проверки устанавливаемых пакетов и использования инструментов безопасности при разработке блокчейн-приложений. Разработчикам рекомендуется регулярно проводить аудит зависимостей, использовать доверенные источники пакетов и внедрять многоуровневую защиту критической инфраструктуры.
