Эксперты по кибербезопасности из компании Phylum выявили новую серию вредоносных пакетов в репозитории npm, нацеленных на кражу приватных ключей Ethereum и получение несанкционированного удаленного доступа к компьютерам жертв. Эта находка подчеркивает растущую угрозу, с которой сталкиваются разработчики и пользователи криптовалют.
Механизм атаки и цели злоумышленников
Злоумышленники использовали технику тайпсквоттинга, создавая пакеты с названиями, похожими на популярную библиотеку ethers. Вредоносный код был непосредственно встроен в эти пакеты, что позволяло атакующим перехватывать приватные ключи Ethereum и отправлять их на контролируемый ими домен ether-sign[.]com. Важно отметить, что для активации вредоносного кода требовалось реальное использование пакета в коде жертвы, например, создание нового экземпляра Wallet с использованием скомпрометированной библиотеки.
Дополнительные векторы атаки
Помимо кражи криптовалютных ключей, некоторые пакеты, в частности ethers-mew, содержали функционал для модификации файла /root/.ssh/authorized_keys. Это позволяло злоумышленникам добавлять свой SSH-ключ, обеспечивая постоянный удаленный доступ к зараженным системам. Такой подход значительно расширяет возможности атакующих и увеличивает потенциальный ущерб от компрометации.
Обнаруженные вредоносные пакеты
Исследователи идентифицировали следующие пакеты, связанные с этой вредоносной кампанией:
- ethers-mew
- etherrs
- ethers-io
- ethers-web
- ethers-js
Некоторые из этих пакетов, опубликованные пользователями crstianokavic и timyorks, предположительно использовались для тестирования и содержали минимальные изменения. Наиболее продвинутым и потенциально опасным был пакет ethers-mew.
Эволюция тактик злоумышленников
Эта кампания демонстрирует эволюцию тактик киберпреступников. В отличие от предыдущих атак, где вредоносный код часто содержался в зависимостях, в данном случае он был напрямую интегрирован в основной код пакетов. Это усложняет обнаружение угрозы и подчеркивает необходимость более тщательного анализа используемых библиотек.
Специалисты Phylum отмечают, что все обнаруженные вредоносные пакеты и учетные записи их авторов существовали непродолжительное время и были удалены, вероятно, самими злоумышленниками. Это указывает на стремление атакующих минимизировать риск обнаружения и подчеркивает важность оперативного реагирования на подобные угрозы.
Данный инцидент служит очередным напоминанием о важности тщательной проверки используемых зависимостей и библиотек, особенно в проектах, связанных с криптовалютами и финансовыми операциями. Разработчикам рекомендуется использовать только проверенные источники, регулярно обновлять зависимости и применять инструменты автоматизированного анализа кода для выявления потенциальных угроз. Кроме того, критически важно обеспечить надежную защиту приватных ключей и применять многофакторную аутентификацию для доступа к критически важным системам и ресурсам.
