В npm нашли сразу 20 вредоносных пакетов, выдающих себя за среду разработки Hardhat, которую используют Ethereum-разработчики. Малварь стремилась похитить у них приватные ключи и другие конфиденциальные данные.
По информации аналитиков Socket, суммарное количество скачиваний вредоносных пакетов превысило 1000 раз.
Hardhat представляет собой популярную среду разработки, поддерживаемую Nomic Foundation. Она применяется для разработки, тестирования и развертывания смарт-контрактов и децентрализованных приложений (dApps) на блокчейне Ethereum. Как правило, она используется блокчейн-разработчиками, финтех-компаниями, а также образовательными учреждениями.
По словам исследователей, три аккаунта загрузили в npm 20 пакетов, нацеленных на кражу данных. Названия этих пакетов эксплуатировали тайпсквоттинг, то есть малварь стремилась выдать себя за легитимные пакеты, обманывая невнимательных пользователей.
В своем отчете специалисты приводят названия 16 вредоносных пакетов:
- nomicsfoundations
- @nomisfoundation/hardhat-configure
- installedpackagepublish
- @nomisfoundation/hardhat-config
- @monicfoundation/hardhat-config
- @nomicsfoundation/sdk-test
- @nomicsfoundation/hardhat-config
- @nomicsfoundation/web3-sdk
- @nomicsfoundation/sdk-test1
- @nomicfoundations/hardhat-config
- crypto-nodes-validator
- solana-validator
- node-validators
- hardhat-deploy-others
- hardhat-gas-optimizer
- solidity-comments-extractors
После установки эти пакеты пытались собрать приватные ключи Hardhat, конфигурационные файлы и так далее, зашифровать данные с помощью жестко закодированного ключа AES, а затем отправить своим операторам.
«Эти пакеты эксплуатируют среду выполнения Hardhat, используя такие функции, как hreInit() и hreConfig(), для сбора конфиденциальных данных, включая приватные ключи, мнемоники и файлы конфигурации, — объясняют в Socket. — Собранные данные передаются на контролируемые злоумышленниками серверы, с использованием жестко закодированных ключей и Ethereum-адресов».
Поскольку многие скомпрометированные системы могли принадлежать разработчикам, злоумышленники могли получить несанкционированный доступ к производственным системам, скомпрометировать смарт-контракты или развернуть вредоносные клоны существующих dApps, чтобы заложить основу для будущих атак.
Кроме того, конфигурационные файлы Hardhat могут содержать ключи API для сторонних сервисов, информацию о сети разработки и эндпооинтах, что так же может быть использовано для подготовки дальнейших фишинговых атак.
