网络犯罪分子利用伪造的 Hardhat npm 软件包瞄准以太坊开发人员

网络安全研究人员揭露了 npm 注册表上的几个恶意软件包，发现它们冒充 Nomic 基金会的 Hardhat 工具，以窃取开发者系统中的敏感数据。

"Socket研究团队在一份分析报告中说："利用对开源插件的信任，攻击者通过恶意npm软件包渗透到这些平台，渗出私钥、助记符和配置细节等关键数据。 Hardhat是以太坊软件的开发环境，集成了用于编辑、编译、调试和部署智能合约和去中心化应用程序（dApps）的各种组件。

已识别的假冒包装清单如下 -

nomicsfoundations
@nomisfoundation/hardhat-configure
installedpackagepublish
@nomisfoundation/hardhat-config
@monicfoundation/hardhat-config
@nomicsfoundation/sdk-test
@nomicsfoundation/hardhat-config
@nomicsfoundation/web3-sdk
@nomicsfoundation/sdk-test1
@nomicfoundations/hardhat-config
crypto-nodes-validator
solana-validator
node-validators
hardhat-deploy-others
hardhat-gas-optimizer
solidity-comments-extractors

在这些软件包中，@nomicsfoundation/sdk-test 已吸引了 1,092 次下载。它发布于一年多前的 2023 年 10 月。一旦安装，这些软件包就会从 Hardhat 环境中获取记忆短语和私钥，然后将它们外泄到攻击者控制的服务器。这些软件包使用 hreInit() 和 hreConfig() 等函数利用 Hardhat 运行时环境，收集私钥、助记词和配置文件等敏感细节，"该公司说。"收集到的数据被传输到攻击者控制的端点，利用硬编码密钥和以太坊地址进行流式外渗。"

此次披露是在发现另一个名为 ethereumvulncontracthandler 的恶意 npm 软件包之后几天发生的，该软件包伪装成一个用于检测以太坊智能合约漏洞的库，但却隐藏着投放 Quasar RAT 恶意软件的功能。最近几个月，人们还观察到恶意 npm 软件包使用以太坊智能合约进行命令与控制 (C2) 服务器地址分发，将受感染的机器合并到一个名为 MisakaNetwork 的区块链驱动僵尸网络中。 Socket 表示："该威胁行为者指出了 npm 生态系统固有的复杂性，其中的软件包往往依赖于大量的依赖关系，从而形成了复杂的'嵌套玩偶'结构。

"这种依赖关系链使得全面的安全审查具有挑战性，并为攻击者引入恶意代码提供了机会。 _lain 承认在 npm 生态系统中利用了这种复杂性和依赖关系的蔓延，因为他们知道开发人员仔细检查每一个软件包和依赖关系是不切实际的。在 npm、PyPI 和 RubyGems 生态系统中发现的一组虚假库利用 oastify.com 和 oast.fun 等带外应用程序安全测试 (OAST) 工具，将敏感数据外泄到攻击者控制的服务器上。这些软件包的名称如下 - adobe-dcapi-web（npm），可避免危及位于俄罗斯的 Windows、Linux 和 macOS 端点，并具有收集系统信息的功能 monoliht（PyPI），可收集系统元数据

chauuuyhhn、nosvemosssadfsd、holaaaaaafasdf (RubyGems)，其中包含嵌入式脚本，旨在通过 DNS 查询将敏感信息传输到 oastify.com 端点 "为道德安全评估而创建的相同工具和技术正在被威胁行为者滥用，"Socket 研究员 Kirill Boychenko 说。 "为降低此类软件包带来的供应链风险，建议软件开发人员验证软件包的真实性，在输入软件包名称时谨慎行事，并在安装前检查源代码。

信息来源：https://thehackernews.com/2025/01/russian-speaking-attackers-target.html

发表回复 取消回复

发表回复取消回复