Кибербезопасность выявила массированную атаку на разработчиков, использующих репозитории npm и PyPI. Злоумышленники, применяя методы тайпсквоттинга и маскировки, распространяют вредоносные пакеты, нацеленные на кражу конфиденциальной информации, включая ключи кошельков Solana, и даже уничтожение данных. Эти атаки представляют серьезную угрозу цепочке поставок программного обеспечения, ставя под удар доверие к популярным менеджерам пакетов.
Основной целью киберпреступников является хищение приватных ключей Solana. Вредоносные пакеты, как, например,
В арсенале злоумышленников присутствует целый набор поддельных npm-пакетов. Среди них
Вредоносная деятельность не ограничивается npm. На репозитории PyPI был обнаружен пакет
Хакеры также используют платформу GitHub для распространения вредоносных npm-пакетов. Злоумышленники создают фиктивные репозитории, такие как
Некоторые из вредоносных пакетов снабжены функцией «самоуничтожения». Например, пакет
В целом, методы злоумышленников включают в себя тайпсквоттинг – создание пакетов с похожими именами, маскировку под легитимные библиотеки, кражу данных (приватные ключи Solana и токены Discord), exfiltration данных через Gmail, опустошение кошельков Solana и удаление данных на компьютерах жертв.
Стоит отметить, что обнаруженные вредоносные программы используют такие известные stealer-программы как Skuld и Blank-Grabber, что говорит о систематическом подходе к проведению атак.
Компания Socket, занимающаяся безопасностью цепочек поставок программного обеспечения, и security-исследователь Кирил Бойченко одними из первых выявили и сообщили об этих угрозах. Они подчеркивают необходимость тщательной проверки используемых пакетов и критической оценки кода сторонних разработчиков.
Использование Gmail для SMTP-exfiltration позволяет злоумышленникам обходить стандартные методы обнаружения, делая их атаки особенно коварными и трудно отслеживаемыми. Необходимо внедрять строгие методы проверки и мониторинга библиотек, применяемых в проектах.
Таким образом, участившиеся атаки через npm и PyPI, направленные на кражу ключей Solana и других конфиденциальных данных, требуют от разработчиков бдительности и применения надежных мер безопасности для защиты от уязвимостей в цепочке поставок программного обеспечения. Разработчикам необходимо внедрять строгую политику безопасности, использовать надежные инструменты и обращать внимание на подозрительную активность.
Изображение носит иллюстративный характер
Основной целью киберпреступников является хищение приватных ключей Solana. Вредоносные пакеты, как, например,
solana-transaction-toolkit и solana-stable-web-huks, автоматически переводят до 98% средств с кошелька жертвы, используя украденные ключи. Для осуществления кражи и последующей передачи данных злоумышленники активно применяют SMTP-сервер Gmail. Это обеспечивает им возможность скрытой передачи, снижая вероятность обнаружения системами безопасности. В арсенале злоумышленников присутствует целый набор поддельных npm-пакетов. Среди них
@async-mutex/mutex, имитирующий async-mute, dexscreener, выдающий себя за библиотеку для работы с данными DEX, и целая серия пакетов, искажающих название chokidar и chalk: cschokidar-next, achokidar-next, achalk-next, csbchalk-next, и cschalk. Эти пакеты распространяются обманным путем, используя похожее написание с оригинальными. Вредоносная деятельность не ограничивается npm. На репозитории PyPI был обнаружен пакет
pycord-self, который маскируется под discord.py-self и крадет токены аутентификации Discord для получения постоянного доступа к зараженным системам. Кроме того, есть случаи, когда вредоносные пакеты нацелены на пользователей Roblox. Компания Imperva сообщила, что атаки с использованием скомпрометированных библиотек PyPI нацелены и на игроков Roblox. Хакеры также используют платформу GitHub для распространения вредоносных npm-пакетов. Злоумышленники создают фиктивные репозитории, такие как
moonshot-wif-hwan/pumpfun-bump-script-bot, замаскированный под бота для популярной Solana-based DEX Raydium. При этом аккаунты "moonshot-wif-hwan" и "Diveinprogramming", использовавшиеся для распространения вредоносных программ, в настоящее время недоступны. Некоторые из вредоносных пакетов снабжены функцией «самоуничтожения». Например, пакет
csbchalk-next после получения определенного кода (202) удаляет все файлы в директории проекта, нанося существенный вред жертве. В целом, методы злоумышленников включают в себя тайпсквоттинг – создание пакетов с похожими именами, маскировку под легитимные библиотеки, кражу данных (приватные ключи Solana и токены Discord), exfiltration данных через Gmail, опустошение кошельков Solana и удаление данных на компьютерах жертв.
Стоит отметить, что обнаруженные вредоносные программы используют такие известные stealer-программы как Skuld и Blank-Grabber, что говорит о систематическом подходе к проведению атак.
Компания Socket, занимающаяся безопасностью цепочек поставок программного обеспечения, и security-исследователь Кирил Бойченко одними из первых выявили и сообщили об этих угрозах. Они подчеркивают необходимость тщательной проверки используемых пакетов и критической оценки кода сторонних разработчиков.
Использование Gmail для SMTP-exfiltration позволяет злоумышленникам обходить стандартные методы обнаружения, делая их атаки особенно коварными и трудно отслеживаемыми. Необходимо внедрять строгие методы проверки и мониторинга библиотек, применяемых в проектах.
Таким образом, участившиеся атаки через npm и PyPI, направленные на кражу ключей Solana и других конфиденциальных данных, требуют от разработчиков бдительности и применения надежных мер безопасности для защиты от уязвимостей в цепочке поставок программного обеспечения. Разработчикам необходимо внедрять строгую политику безопасности, использовать надежные инструменты и обращать внимание на подозрительную активность.
