Фахівці з кібербезпеки компанії Socket виявили небезпечну шкідливу кампанію, спрямовану на розробників екосистеми Ethereum. Зловмисники поширили через репозиторій npm 20 шкідливих пакетів, що імітують популярне середовище розробки Hardhat. За даними дослідників, ці пакети були завантажені понад 1000 разів, що свідчить про значний масштаб потенційної компрометації.
Особливості шкідливої кампанії та механізм атаки
Зловмисники використали техніку тайпсквотингу – створення назв пакетів, максимально схожих на легітимні бібліотеки Hardhat. Після встановлення шкідливий код активно експлуатував функціональність середовища розробки, зокрема методи hreInit() та hreConfig(). Основною метою атаки став збір конфіденційних даних розробників: приватних ключів, мнемонічних фраз та конфігураційних файлів проєктів.
Технічний аналіз шкідливого коду
Дослідження показало, що викрадені дані шифрувались за допомогою вбудованого AES-ключа перед відправленням на командні сервери зловмисників. В коді виявлено хардкодні Ethereum-адреси, які ймовірно використовувались для виведення викрадених криптоактивів. Така складна архітектура шкідливого ПЗ свідчить про високий рівень підготовки атакуючих.
Потенційні наслідки для екосистеми Ethereum
Компрометація систем розробників може призвести до серйозних наслідків: несанкціонованого доступу до виробничих середовищ, модифікації смарт-контрактів та розгортання шкідливих клонів децентралізованих додатків. Особливу небезпеку становить доступ до конфігураційних файлів, які містять API-ключі сервісів інфраструктури та критичні налаштування мереж.
Для захисту від подібних атак розробникам рекомендується впровадити комплексний підхід до безпеки: використовувати верифіковані джерела пакетів, регулярно проводити аудит залежностей, застосовувати інструменти автоматизованого сканування коду та впроваджувати багаторівневий захист критичної інфраструктури. Важливо також підвищувати обізнаність команд розробників щодо актуальних векторів атак у блокчейн-індустрії.
