В репозитории пакетов npm была обнаружена атака на цепочку поставок программного обеспечения, нацеленная на разработчиков Ethereum. Злоумышленник с финансовой мотивацией публикует вредоносные пакеты, имитирующие легитимную инфраструктуру Flashbots, с целью кражи учетных данных криптовалютных кошельков, таких как приватные ключи и мнемонические фразы.
Атаку проводит пользователь с никнеймом "flashbotts", используя опечатку в названии для введения в заблуждение (тайпсквоттинг). Анализ исходного кода выявил комментарии на вьетнамском языке, что указывает на возможное происхождение злоумышленника. Основной метод хищения данных — скрытая отправка украденной информации на контролируемый им Telegram-бот, а также через SMTP с использованием сервиса Mailtrap.
Целью для маскировки была выбрана организация Flashbots, пользующаяся высоким доверием в экосистеме Ethereum. Flashbots известна своей работой по борьбе с негативными последствиями Maximal Extractable Value (MEV), включая такие атаки, как «сэндвич», ликвидация, фронтраннинг и бэкраннинг. Злоумышленники эксплуатируют эту репутацию, чтобы убедить разработчиков установить поддельные пакеты.
Исследовательской фирмой Socket были выявлены четыре вредоносных пакета. На момент обнаружения все они оставались доступными для скачивания. Самый ранний из них был загружен в сентябре 2023 года.
Наиболее опасной из обнаруженных библиотек является
Другой пакет,
Конечной целью атаки является хищение мнемонических фраз, которые служат «мастер-ключом» к криптовалютному кошельку. Получив доступ к этой фразе, злоумышленник получает полный контроль над всеми активами жертвы, что приводит к немедленной и необратимой краже средств.
Исследователь Socket Куш Пандья так прокомментировал ситуацию: «Поскольку разработчики доверяют имени Flashbots, эти пакеты имеют высокий шанс быть внедренными, превращая рутинную разработку Web3 в прямой канал к Telegram-ботам, контролируемым злоумышленниками».
Изображение носит иллюстративный характер
Атаку проводит пользователь с никнеймом "flashbotts", используя опечатку в названии для введения в заблуждение (тайпсквоттинг). Анализ исходного кода выявил комментарии на вьетнамском языке, что указывает на возможное происхождение злоумышленника. Основной метод хищения данных — скрытая отправка украденной информации на контролируемый им Telegram-бот, а также через SMTP с использованием сервиса Mailtrap.
Целью для маскировки была выбрана организация Flashbots, пользующаяся высоким доверием в экосистеме Ethereum. Flashbots известна своей работой по борьбе с негативными последствиями Maximal Extractable Value (MEV), включая такие атаки, как «сэндвич», ликвидация, фронтраннинг и бэкраннинг. Злоумышленники эксплуатируют эту репутацию, чтобы убедить разработчиков установить поддельные пакеты.
Исследовательской фирмой Socket были выявлены четыре вредоносных пакета. На момент обнаружения все они оставались доступными для скачивания. Самый ранний из них был загружен в сентябре 2023 года.
Наиболее опасной из обнаруженных библиотек является
@flashbotts/ethers-provider-bundle (52 загрузки). Этот пакет не только обеспечивает полную совместимость с API Flashbots для маскировки, но и выполняет три вредоносные функции: крадет переменные окружения через SMTP, содержит функцию для перенаправления всех неподписанных транзакций на кошелек злоумышленника и регистрирует метаданные предварительно подписанных транзакций. Другой пакет,
flashbot-sdk-eth, набравший 467 загрузок, имитирует официальный SDK Flashbots и предназначен для кражи приватных ключей. Пакет sdk-ethers (90 загрузок) содержит скрытый вредоносный код: две функции, которые при вызове разработчиком передают мнемонические фразы в Telegram-бот. Четвертый пакет, gram-utilz (83 загрузки), функционирует как модульная утилита для отправки произвольных данных злоумышленнику. Конечной целью атаки является хищение мнемонических фраз, которые служат «мастер-ключом» к криптовалютному кошельку. Получив доступ к этой фразе, злоумышленник получает полный контроль над всеми активами жертвы, что приводит к немедленной и необратимой краже средств.
Исследователь Socket Куш Пандья так прокомментировал ситуацию: «Поскольку разработчики доверяют имени Flashbots, эти пакеты имеют высокий шанс быть внедренными, превращая рутинную разработку Web3 в прямой канал к Telegram-ботам, контролируемым злоумышленниками».
