ETH
SOL黑客通过恶意npm包窃取以太坊与Solana开发者私钥
近日出现五个针对以太坊与Solana开发者的恶意npm软件包,通过窃取私钥并将其发送至攻击者控制的服务器实施攻击。这些软件包采用仿冒合法加密库的名称进行"typosquatting"(域名抢注)攻击。
安全研究团队发现这五个恶意软件包由同一账户发布,攻击活动覆盖以太坊和Solana生态系统,并配备活跃的命令与控制基础设施。其中一个软件包在发布五分钟后即被撤下,但其能在隐藏代码的同时将窃取的数据传输给攻击者。
新型攻击手法解析
恶意软件包通过劫持开发者传递私钥的常用函数实施攻击。当相关函数被调用时,软件包会在返回预期结果前将密钥发送至攻击者的Telegram机器人,使得未察觉异常的开发者难以发现异常。
研究人员指出,其中四个软件包针对Solana开发者,另一个则针对以太坊开发者。针对Solana的软件包会拦截Base58解码函数的调用,而针对以太坊的软件包则瞄准以太坊钱包构造函数。
技术实施细节
所有恶意软件包均依赖Node.js 18及以上版本的全局获取功能,在旧版本中请求将静默失败而不窃取数据。这些软件包都将数据发送至相同的Telegram接收端点,其中机器人令牌和聊天ID被硬编码在每个软件包中,无需外部服务器即可维持通信。
具体实施方式各有差异:最简单的软件包直接修改解码函数并在返回结果前发送密钥;有的通过混淆技术隐藏恶意载荷;还有的本身不包含恶意代码,但通过依赖链传递恶意载荷。针对以太坊的恶意软件包则是在编译后的文件中插入单行恶意代码,这种仅出现在编译文件中的修改证实了人为篡改行为。
安全防护建议
安全研究人员已向npm提交下架请求。专家提醒,在此攻击中泄露的私钥已存在安全风险,相关资产应立即转移至新钱包。开发者在安装依赖包时应仔细核对名称拼写,并优先选择经过验证的官方库。
此次事件再次表明,黑客正持续将加密开发者作为攻击目标。此前就曾出现通过伪造安装程序感染大量开发系统的案例,攻击者不断利用各种手段窃取私钥、助记词等敏感数据。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注