超千次下載：20 個(gè)惡意 npm 包偽裝成以太坊開發(fā)工具 Hardhat 竊取敏感信息

IT之家 1 月 4 日消息，科技媒體 bleepingcomputer 昨日（1 月 3 日）發(fā)布博文，報(bào)道稱安全研究人員發(fā)現(xiàn)，有不法分子利用名稱高度相似的惡意軟件包，假冒以太坊開發(fā)工具 Hardhat，竊取開發(fā)者的私鑰和其他敏感數(shù)據(jù)。

Hardhat 是由 Nomic 基金會(huì)維護(hù)的以太坊開發(fā)環(huán)境，廣泛用于開發(fā)、測(cè)試和部署智能合約及去中心化應(yīng)用（dApps），區(qū)塊鏈軟件開發(fā)者、金融科技公司和初創(chuàng)企業(yè)以及教育機(jī)構(gòu)是其主要用戶。

這些用戶通常從 npm（Node Package Manager）獲取項(xiàng)目組件，npm 是 JavaScript 生態(tài)系統(tǒng)中廣泛使用的工具，可幫助開發(fā)者管理依賴項(xiàng)、庫(kù)和模塊。

攻擊者在 npm 上創(chuàng)建了三個(gè)惡意賬戶，上傳了 20 個(gè)竊取信息的軟件包, 總共記錄了 1000 多次下載。這些軟件包使用“域名搶注”（typosquatting）的方式，模仿合法軟件包的名稱，誘騙用戶安裝。

IT之家附上 Socket 分享的 16 個(gè)惡意程序包的名稱如下：

• nomicsfoundations

• @nomisfoundation/hardhat-configure

• installedpackagepublish

• @nomisfoundation/hardhat-config

• @monicfoundation/hardhat-config

• @nomicsfoundation/sdk-test

• @nomicsfoundation/hardhat-config

• @nomicsfoundation/web3-sdk

• @nomicsfoundation/sdk-test1

• @nomicfoundations/hardhat-config

• crypto-nodes-validator

• solana-validator

• node-validators

• hardhat-deploy-others

• hardhat-gas-optimizer

• solidity-comments-extractors

用戶一旦安裝，這些惡意軟件包中的代碼就會(huì)嘗試收集 Hardhat 私鑰、配置文件和助記詞（mnemonics，用于訪問以太坊錢包），使用硬編碼的 AES 密鑰對(duì)其進(jìn)行加密，然后將其發(fā)送到攻擊者控制的端點(diǎn)。

Socket 公司解釋說：“這些軟件包利用 hreInit () 和 hreConfig () 等函數(shù)，從 Hardhat 運(yùn)行時(shí)環(huán)境中收集私鑰、助記詞和配置文件等敏感信息。收集到的數(shù)據(jù)通過硬編碼的密鑰和以太坊地址傳輸?shù)焦粽呖刂频亩它c(diǎn)。”

由于許多受感染的系統(tǒng)屬于開發(fā)者，攻擊者可能獲得對(duì)生產(chǎn)系統(tǒng)的未授權(quán)訪問權(quán)限，從而破壞智能合約或部署現(xiàn)有 dApp 的惡意克隆版本，為更大規(guī)模、更具影響力的攻擊奠定基礎(chǔ)。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。