2 декабря 2024 года специалисты по кибербезопасности выявили серьезную атаку на цепочку поставок, затронувшую популярную библиотеку Solana Web3.js. Злоумышленники успешно внедрили вредоносный код в официальный npm-пакет, используемый для разработки децентрализованных приложений в экосистеме Solana.
Масштаб и механизм атаки
Библиотека @solana/web3.js, регистрирующая около 400 000 загрузок еженедельно, играет ключевую роль в разработке dApps для различных платформ. Атака затронула версии 1.95.6 и 1.95.7, которые оставались доступными для загрузки примерно пять часов. Компрометация произошла после получения злоумышленниками несанкционированного доступа к учетной записи с правами публикации.
Технические детали компрометации
По данным эксперта DataDog Кристофа Тафани-Дерипера, атакующие внедрили вредоносную функцию addToQueue, маскирующую exfiltration-процесс под легитимные заголовки CloudFlare. Функция осуществляла сбор и передачу приватных криптовалютных ключей на контролируемые злоумышленниками серверы.
Последствия и рекомендации по безопасности
Хотя некастодиальные кошельки остались незатронутыми, специалисты GitHub предупреждают о потенциальной установке дополнительного вредоносного ПО. Разработчикам настоятельно рекомендуется:
— Обновить библиотеку до версии 1.95.8
— Произвести полную ротацию всех ключей и учетных данных
— Провести аудит систем на предмет компрометации
Финансовый ущерб и идентификация атакующих
Аналитики Socket отследили активность злоумышленников до конкретного адреса в сети Solana. На момент обнаружения, общая стоимость похищенных активов оценивается в более чем 180 000 долларов США, включая различные токены экосистемы Solana.
Данный инцидент подчеркивает критическую важность безопасности цепочек поставок в Web3-пространстве. Разработчикам рекомендуется внедрять многоуровневые системы проверки зависимостей и регулярно проводить аудит безопасности используемых библиотек. Особое внимание следует уделять процессам управления криптографическими ключами и механизмам обновления программного обеспечения.
