Експерти з кібербезпеки компанії Phylum виявили нову серію шкідливих пакетів у репозиторії npm, спрямованих на викрадення приватних ключів Ethereum та отримання несанкціонованого віддаленого доступу до комп’ютерів жертв. Це відкриття підкреслює зростаючу загрозу для розробників та користувачів криптовалют, демонструючи еволюцію тактик кіберзлочинців.

Механізм атаки та цілі зловмисників

Зловмисники використовували техніку тайпсквоттингу, створюючи пакети з назвами, схожими на популярну бібліотеку ethers. Шкідливий код був безпосередньо вбудований у ці пакети, що дозволяло атакуючим перехоплювати приватні ключі Ethereum та надсилати їх на контрольований ними домен ether-sign[.]com. Важливо зазначити, що для активації шкідливого коду вимагалося реальне використання пакета в коді жертви, наприклад, створення нового екземпляра Wallet з використанням скомпрометованої бібліотеки.

Додаткові вектори атаки

Окрім викрадення криптовалютних ключів, деякі пакети, зокрема ethers-mew, містили функціонал для модифікації файлу /root/.ssh/authorized_keys. Це дозволяло зловмисникам додавати свій SSH-ключ, забезпечуючи постійний віддалений доступ до заражених систем. Такий підхід значно розширює можливості атакуючих та збільшує потенційну шкоду від компрометації.

Виявлені шкідливі пакети

Дослідники ідентифікували наступні пакети, пов’язані з цією шкідливою кампанією:

• ethers-mew
• etherrs
• ethers-io
• ethers-web
• ethers-js

Найбільш просунутим і потенційно небезпечним був пакет ethers-mew. Інші пакети, опубліковані користувачами crstianokavic та timyorks, ймовірно, використовувалися для тестування і містили мінімальні зміни.

Еволюція тактик зловмисників

Ця кампанія демонструє еволюцію тактик кіберзлочинців. На відміну від попередніх атак, де шкідливий код часто містився в залежностях, у даному випадку він був напряму інтегрований в основний код пакетів. Це ускладнює виявлення загрози і підкреслює необхідність більш ретельного аналізу використовуваних бібліотек.

Фахівці Phylum відзначають, що всі виявлені шкідливі пакети та облікові записи їх авторів існували нетривалий час і були видалені, ймовірно, самими зловмисниками. Це вказує на прагнення атакуючих мінімізувати ризик виявлення і підкреслює важливість оперативного реагування на подібні загрози.

Цей інцидент служить черговим нагадуванням про важливість ретельної перевірки використовуваних залежностей та бібліотек, особливо в проектах, пов’язаних з криптовалютами та фінансовими операціями. Розробникам рекомендується використовувати лише перевірені джерела, регулярно оновлювати залежності та застосовувати інструменти автоматизованого аналізу коду для виявлення потенційних загроз. Крім того, критично важливо забезпечити надійний захист приватних ключів та застосовувати багатофакторну автентифікацію для доступу до критично важливих систем і ресурсів. Тільки комплексний підхід до безпеки може ефективно протистояти сучасним кіберзагрозам у світі криптовалют та розробки програмного забезпечення.