SOL黑客转向去中心化系统以攻击开发者并窃取加密货币
黑客正逐渐摒弃传统服务器,转而利用去中心化系统攻击开发者并窃取其加密资产。他们正完全以去中心化方案替代传统的命令与控制服务器。
在此类攻击中,恶意软件滥用Solana区块链。它利用Solana交易的备注字段来运行隐蔽的恶意软件,以窃取加密钱包数据,甚至包括硬件钱包的恢复短语。
备注字段原本设计用于简单的交易注释,但攻击者现将其用作隐藏的通信层。这使得公开的区块链功能转变为恶意软件控制的隐蔽通道。
像Solana这样的去中心化备注是公开且永久存在的,任何单一实体都无法将其移除。此外,攻击者无需更改恶意软件即可更新指令。
这一攻击活动被视为GlassWorm恶意软件的新变种,该软件至少自2022年起便持续活跃。
Solana备注充当秘密信息传递点
根据Aikido安全研究人员的分析,此次攻击包含三个阶段或三个有效载荷。第一阶段/有效载荷仅是入口点,始于开发者从npm、PyPI、GitHub或Open VSX市场等开源仓库安装恶意软件包。
恶意软件随后会检查系统区域设置是否为俄语,若是则停止攻击。这可能因为攻击者位于俄罗斯,意图规避当局追查。一旦安装,恶意软件便利用Solana区块链获取攻击者的命令与控制服务器IP地址,它在Solana上寻找备注字段中包含C2服务器IP的特定交易。
随后恶意软件连接至C2服务器,启动攻击的第二阶段。在此阶段,恶意软件会搜索种子短语、私钥乃至钱包截图等加密数据,其攻击目标包括MetaMask、Phantom、Coinbase、Exodus、Binance、Ronin、Keplr等浏览器扩展钱包。
恶意软件同时窃取浏览器数据,如登录会话、会话令牌和云访问权限。这意味着它可以侵入中心化交易所账户、npm、GitHub及AWS账户。
收集数据后,恶意软件将其压缩为ZIP文件并发送至攻击者的服务器。
通过钓鱼攻击瞄准硬件钱包
最终的有效载荷分为两部分。第一部分是.NET二进制文件,用于搜寻Ledger和Trezor等硬件钱包。一旦发现,它会显示虚假错误信息,诱使用户输入恢复短语。
第二部分是基于WebSocket的JavaScript远程访问木马,用于窃取浏览器数据。它还会安装伪造的Chrome扩展程序,实时监控交易所等特定网站并窃取Cookies。该木马通过Google日历事件作为秘密信息传递点进行下载,这种方法使攻击者能够隐藏真实服务器、绕过安全过滤器,并充当间接的传递层。
与仅窃取浏览器数据的第二阶段不同,此远程访问木马具有实时控制能力。它保持活跃状态并持续监控浏览器,捕获新的Cookies、跟踪已登录的交易所账户等活跃会话、记录击键内容并截取屏幕截图。此外,它允许攻击者在受害者机器上执行命令。
GlassWorm难以清除。该恶意软件能够重新下载自身并在系统重启后持续存在。它还使用分布式哈希表查询和Solana备注等备用方法来寻找控制服务器。
由于没有中心服务器,且数据分散在众多计算机之间,防御者难以在网络层面阻止此类攻击。
这种攻击极为危险。其严重性在于它结合了加密货币盗窃、完整的系统控制以及难以清除的网络特性。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注