セキュリティ研究者は、暗号資産開発者を狙った標的型サプライチェーン攻撃を発見しました。
アカウント「galedonovan」によって公開された5つの悪意のあるnpmパッケージが、正規のSolanaおよびEthereumライブラリをタイポスクワッティングしていることが判明しました。
インストールされると、これらのパッケージは秘密裏に秘密鍵を盗み、脅迫者のTelegramボットに直接送信します。
1つのパッケージはすぐに削除されましたが、このキャンペーンはデジタル資産を管理する開発者にとって深刻な脅威のままです。
悪意のあるパッケージは、標準的な暗号ツールのように見え、動作するように設計されています。これらは、開発者が秘密鍵を処理するために日常的に使用する一般的な関数にフックを設定することで動作します。
Solana開発者の場合、マルウェアはBase58 decode()関数への呼び出しをインターセプトします。Ethereum開発者の場合、偽のethersproject-walletパッケージ内のWalletコンストラクタをターゲットにします。
開発者がこれらの関数を通じて秘密鍵を渡すと、悪意のあるコードが秘密裏にそれを捕捉します。その後、fetch()コマンドを使用して、キーを平文でハードコードされたTelegramグループに送信します。
期待される暗号関数は依然として正常に完了するため、アプリケーションは被害者に警告するための目に見えるエラーなく実行し続けます。
このデータ盗難にはネットワークリクエストを実行するためにNode.js 18以上が必要です。古いバージョンでは、盗難はアプリケーションをクラッシュさせることなく静かに失敗します。
盗難されたすべてのデータは、単一のTelegramボット(@Test20131_Bot)にルーティングされます。このボットは、@crypto_sol3として知られるユーザーによって管理されるプライベートグループにキーを転送します。
攻撃はコマンド・アンド・コントロール(C2)インフラストラクチャーのためにTelegramの公式APIにのみ依存しているため、セキュリティツールがブロックするための従来の悪意のあるドメインはありません。
このキャンペーンは、raydium-bs58、base-x-64、bs58-basic、ethersproject-wallet、および短時間だけ公開されたbase_xdという5つのリンクされたパッケージで構成されています。
各パッケージはさまざまなレベルのステルスを使用しています。たとえば、raydium-bs58は完全に表示されており、ソースコード内で攻撃者のTelegram招待リンクを誤ってリークしてしまいました。
対照的に、ethersproject-walletは非常に洗練されています。正規のライブラリを完全に複製し、コンパイル後に難読化された悪意のあるコードの1行を注入します。
一方、bs58-basicは悪意のあるコード自体は含まれていません。ただし、悪意のあるbase-x-64を隠された推移的依存関係として引き込むことで、トラップとして機能します。
セキュリティチームは、共有されたコードのタイプ、同じコンパイル済みバイナリ、ファイルタイムスタンプの一致、および同じTelegramボットトークンの再利用により、5つのパッケージをすべて同じ脅迫者にリンクしました。
開発者は緊急にpackage.jsonファイルを監査する必要があります。これらの悪意のあるパッケージのいずれかが見つかった場合、開発者は関連する秘密鍵がすべて危険にさらされていると想定する必要があります。影響を受けたユーザーは、すぐに資金を移動し、キーをローテーションする必要があります。
翻訳元: https://cyberpress.org/telegram-attack-targets-crypto-developers/