HackerNews 编译,转载请注明出处:
针对以太坊开发者的Hardhat开发环境,已有二十个恶意包伪装上线,企图窃取私钥及其他敏感数据。据研究人员称,这些恶意包累计下载量已超过一千次。
Hardhat是由Nomic基金会维护的、广受以太坊开发者欢迎的开发环境,用于在以太坊区块链上开发、测试和部署智能合约及去中心化应用(dApps)。该环境通常被区块链软件开发者、金融科技公司和初创企业以及教育机构所使用。
这些用户往往从npm(Node Package Manager,节点包管理器)中获取项目组件,npm是JavaScript生态系统中广受欢迎的工具,有助于开发者管理依赖项、库和模块。
在npm上,三个恶意账户上传了20个信息窃取包,这些包通过拼写错误伪装成合法包,诱骗用户安装。Socket分享了其中16个恶意包的名称,它们分别是:
- nomicsfoundations@nomisfoundation/hardhat-configureinstalledpackagepublish@nomisfoundation/hardhat-config@monicfoundation/hardhat-config@nomicsfoundation/sdk-test@nomicsfoundation/hardhat-config@nomicsfoundation/web3-sdk@nomicsfoundation/sdk-test1@nomicfoundations/hardhat-configcrypto-nodes-validatorsolana-validatornode-validatorshardhat-deploy-othershardhat-gas-optimizersolidity-comments-extractors
这些包一旦安装,其代码就会试图收集Hardhat私钥、配置文件和助记词,使用硬编码的AES密钥进行加密,然后将它们外泄给攻击者。
Socket解释道:“这些包利用Hardhat运行环境的功能,如hreInit()和hreConfig(),来收集私钥、助记词和配置文件等敏感信息。”
“收集到的数据通过硬编码的密钥和以太坊地址传输到攻击者控制的端点,从而实现简化的数据外泄。”
私钥和助记词用于访问以太坊钱包,因此此次攻击的第一个潜在后果是通过发起未经授权的交易导致资金损失。
此外,由于许多受攻击的系统属于开发者,攻击者可能获得对生产系统的未经授权访问权限,并破坏智能合约或部署现有dApps的恶意克隆版本,为更具影响力、更大规模的攻击奠定基础。
Hardhat配置文件可能包含第三方服务的API密钥以及开发网络和端点的信息,这些信息可被利用来准备网络钓鱼攻击。
软件开发者应保持警惕,验证包的真实性,注意拼写错误伪装,并在安装前检查源代码。通常建议,私钥不应硬编码,而应存储在安全的保险库中。为最大限度地降低此类风险,请使用锁定文件,为依赖项定义特定版本,并尽可能减少依赖项的使用。
消息来源:Bleeping Computer, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
