În ultima perioadă, douăzeci de pachete malițioase care impersonau mediul de dezvoltare Hardhat folosit de dezvoltatorii Ethereum vizează cheile private și alte date sensibile.
Colectiv, pachetele malițioase au înregistrat peste o mie de descărcări, spun cercetătorii.
Hardhat este un mediu de dezvoltare Ethereum larg utilizat, întreținut de Nomic Foundation. Este folosit pentru dezvoltarea, testarea și implementarea contractelor inteligente și a aplicațiilor descentralizate (dApps) pe blockchain-ul Ethereum.
În general, este utilizat de dezvoltatorii de software blockchain, firmele fintech și startup-urile, precum și instituțiile educaționale.
Acești utilizatori își procură adesea componentele proiectului lor din npm (Note Package Manager), o unealtă larg utilizată în ecosistemul JavaScript care ajută dezvoltatorii să gestioneze dependențele, bibliotecile și modulele.
Pe npm, trei conturi malițioase au încărcat 20 de pachete care fură informații, folosind typosquatting pentru a se da drept pachete legitime și a păcăli oamenii să le instaleze.
Socket a distribuit numele a 16 pachete malițioase, care sunt:
Odată instalat, codul din acele pachete încearcă să colecteze cheile private Hardhat, fișierele de configurare și mnemonicele, le criptează cu o cheie AES hardcoded și apoi le exfiltrează la atacatori.
„Aceste pachete exploatează mediul de rulare Hardhat folosind funcții precum hreInit() și hreConfig() pentru a colecta detalii sensibile precum cheile private, mnemonicele și fișierele de configurare,” explică Socket.
„Datele colectate sunt transmise la capetele controlate de atacatori, valorificând chei hardcoded și adrese Ethereum pentru exfiltrare eficientă.”
Cheile private și mnemonicele sunt folosite pentru a accesa portofelele Ethereum, deci prima posibilă ramificație a acestui atac este pierderea de fonduri prin inițierea tranzacțiilor neautorizate.
În plus, deoarece multe dintre sistemele compromise aparțin dezvoltatorilor, atacatorii ar putea obține acces neautorizat la sistemele de producție și compromite contractele inteligente sau să implementeze clone malițioase ale dApps existente pentru a pregăti terenul pentru atacuri mai impactante și de scară mai largă.
Fișierele de configurare Hardhat pot include chei API pentru servicii terțe, precum și informații despre rețeaua de dezvoltare și capetele, și pot fi valorificate pentru a pregăti atacuri de phishing.
Dezvoltatorii de software ar trebui să aibă grijă, să verifice autenticitatea pachetelor, să fie atenți la typosquatting și să inspecteze codul sursă înainte de instalare.
Ca recomandare generală, cheile private nu ar trebui să fie hardcode-uite, ci stocate în seifuri securizate.
Pentru a minimiza expunerea la astfel de riscuri, utilizați fișiere de blocare, definiți versiuni specifice pentru dependențele dvs. și folosiți cât mai puține posibil.”
Leave a Reply