Desenvolvedores de Solana e Ethereum sofrem ataque de pacotes npm de typo squat - Coinfea

Os desenvolvedores de Ethereum e Solana foram alvo de cinco pacotes npm maliciosos que roubam chaves privadas e as enviam para o atacante. Os pacotes dependem de typosquatting, imitando bibliotecas de criptomoeda legítimas. Pesquisadores de segurança da Socket encontraram os cinco pacotes npm maliciosos publicados sob uma única conta.

A campanha maliciosa abrange os ecossistemas Ethereum e Solana, com infraestrutura de comando e controle (C2) ativa. Um dos pacotes foi retirado em menos de cinco minutos, mas ocultou seu código e enviou dados roubados para o atacante. Os hackers confiaram em táticas de engenharia social e typosquatting para enganar os desenvolvedores e roubar suas criptomoedas.

Typosquatting é uma tática onde os atacantes criam pacotes falsos com nomes semelhantes a bibliotecas populares. Os desenvolvedores podem acidentalmente instalar esses pacotes maliciosos, pensando que são legítimos. O trabalho dos pacotes maliciosos é desviar chaves para um bot do Telegram codificado.

Hackers visam devs de Solana e Ethereum

O ataque npm malicioso funciona ao interceptar funções que os desenvolvedores usam para passar chaves privadas. Quando uma função é chamada, o pacote envia a chave para o bot do Telegram do atacante antes de retornar o resultado esperado. Isso torna o ataque invisível para os desenvolvedores desavisados. Segundo os pesquisadores de segurança, quatro pacotes visam desenvolvedores de Solana, enquanto um visa desenvolvedores de Ethereum.

Os quatro pacotes que visam Solana interceptam chamadas de decode() Base58, enquanto o pacote ethersproject-wallet visa o construtor da Wallet Ethereum. Todos os pacotes maliciosos dependem de fetch global, que requer Node.js 18 ou posterior. Em versões mais antigas, a solicitação falha silenciosamente, e nenhum dado é roubado. Todos os pacotes enviam dados para o mesmo endpoint do Telegram.

O token do bot e o ID do chat estão codificados em cada pacote, e não há servidor externo, portanto, o canal funciona enquanto o bot do Telegram permanecer online. O pacote raydium-bs58 é o mais simples. Ele modifica uma função decode e envia a chave antes de retornar o resultado. O README é copiado de um SDK legítimo, e o campo do autor está vazio.

O segundo pacote de Solana, base-x-64, oculta a carga útil com ofuscação. A carga útil envia uma mensagem ao Telegram com a chave roubada. O pacote bs58-basic não contém código malicioso em si, mas depende do base-x-64 e passa a carga útil pela cadeia. O pacote Ethereum, ethersproject-wallet, copia uma biblioteca real, @ethersproject/wallet. O pacote malicioso insere uma linha extra após a compilação. A alteração aparece apenas no arquivo compilado, o que confirma a manipulação manual.

Todos os pacotes compartilham o mesmo endpoint de comando, typos e artefatos de construção. Dois pacotes usam arquivos compilados idênticos. Outro pacote depende diretamente do outro. Esses links apontam para um único ator usando o mesmo fluxo de trabalho. Solicitações de remoção foram enviadas para npm por pesquisadores de segurança. As chaves privadas perdidas devido a esse ataque estão comprometidas, e quaisquer fundos associados devem ser movidos rapidamente para uma nova carteira.