2 декабря 2024 года пакет Solana Web3.js был скомпрометирован в результате атаки на цепочку поставок и взлома аккаунта с соответствующими правами. В результате в код библиотеки внедрили бэкдор для кражи приватных криптовалютных ключей.

Библиотека @solana/web3.js, которую еженедельно загружают из npm порядка 400 000 раз, используется разработчиками для создания децентрализованных приложений (dApps) для Node, веба и React Native. Библиотека обеспечивает взаимодействие между dApps, аккаунтами и программами в сети Solana.

Первыми атаку на цепочку поставок заметили аналитики компании Socket. По их словам, две версии библиотеки (1.95.6 и 1.95.7) были заменены на вредоносные и оставались доступны для скачивания через официальный репозиторий на протяжении примерно пяти часов (с 15:20 до 20:25, 2 декабря 2024 года).

Скомпрометированные версии Web3.js содержали вредоносный код, который позволял злоумышленникам похищать приватные ключи у разработчиков и пользователей, а в итоге — воровать чужую криптовалюту.

По данным ИБ-специалиста компании DataDog Кристофа Тафани-Дерипера (Christophe Tafani-Dereeper), злоумышленники добавили в код вредоносную функцию addToQueue, которая воровала секретные и приватные ключи под видом легитимных заголовков CloudFlare, а затем передавала информацию на сервер хакеров.

Мейнтейнеры Solana уже подтвердили факт взлома. По их словам, атака произошла после компрометации учетной записи с доступом к публикации, что позволило злоумышленникам выложить две вредоносные версии библиотеки.

Всем разработчикам, которые могли взаимодействовать с вредоносными версиями пакета, рекомендуется немедленно обновиться до последней версии 1.95.8, а также провести ротацию всех ключей, секретов и учетных данных.

«Эта проблема не должна затрагивать некастодиальные кошельки, так как они обычно не раскрывают приватные ключи во время транзакций. Проблема связана не с самим протоколом Solana, а с конкретной клиентской библиотекой JavaScript и, похоже, повлияла только на проекты, которые напрямую работают с приватными ключами», — пишут мейнтейнеры.

При этом специалисты GitHub предупреждают, что даже удаление пакета не гарантирует, что с машины будут удалены другие вредоносные программы, появившиеся в результате его установки. То есть разработчикам следует считать свои системы полностью скомпрометированными.

Также инцидент уже прокомментировали представители Binance. По их информации, ни один из крупных криптовалютных кошельков не был взломан в рамках этой атаки на цепочку поставок, но атаки все же имели место.

«Предполагается, что сторонние инструменты, связанные с приватными ключами, включая ботов, могли быть скомпрометированы из-за своевременного обновления зависимостей», — сообщают в Binance.

По информации аналитиков Socket, атаку удалось проследить до адреса FnvLGtucz4E1ppJHRTev6Qv4X7g8Pw6WPStHCcbAKbfx, на котором в настоящее время содержится 674,86 Solana и различное количество токенов Irish Pepe, Star Atlas, Jupiter, USD Coin, Santa Hat, Pepe on Fire, Bonk, catwifhat и Genopets Ki. То есть стоимость предположительно украденной криптовалюты может составлять более 180 000 долларов США.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии