Socket 研究团队揭露,以太坊开发人员已成为利用恶意 npm 软件包进行复杂供应链攻击的目标。该活动利用了人们对开源生态系统的信任,给以太坊开发社区带来了重大风险。
由 Nomic 基金会维护的 Hardhat 是以太坊开发人员的重要工具,可简化智能合约的创建、测试和部署。然而,这个值得信赖的平台却成了恶意活动的焦点。攻击者渗透了 npm 生态系统,以类似合法 Hardhat 插件的名称发布了至少 20 个恶意软件包,如 @nomisfoundation/hardhat-configure 和 hardhat-deploy-others。这些软件包由三个主要作者发布,其中一个软件包@nomicsfoundation/sdk-test的下载量超过了1000次。
报告称,“攻击者将假冒作为主要策略,模仿合法软件包和组织的名称,将自己嵌入供应链中”。这些恶意软件包声称可以增强工作流程,但却从被入侵的开发环境中秘密渗出了助记符和私钥等敏感数据。
该活动采用了多层攻击策略:
- 敏感数据收集: 攻击者从 Hardhat 运行环境中提取关键信息,包括助记符、私钥和配置文件。
- 数据加密和渗透: 收集的数据使用预定义的 AES 密钥进行加密,并传输到攻击者控制的端点。
- 通过区块链的 C2 基础设施: 攻击者利用以太坊智能合约动态检索命令与控制(C2)服务器地址。区块链的分散性和不可更改性使得破坏这种基础设施尤其具有挑战性。
例如,地址为 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b 的智能合约被用来存储和提供 C2 地址。相关的以太坊钱包 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84 进一步强调了区块链与这场运动的结合。
发表评论
您还未登录,请先登录。
登录