Les développeurs de Solana et Ethereum subissent une attaque par des packages npm de typo squat - Coinfea

Les développeurs d’Ethereum et de Solana ont été ciblés par cinq packages npm malveillants qui volent des clés privées et les envoient à l’attaquant. Les packages s’appuient sur le typosquatting, imitant des bibliothèques crypto légitimes. Des chercheurs en sécurité de Socket ont découvert les cinq packages npm malveillants publiés sous un seul compte.

La campagne malveillante couvre les écosystèmes Ethereum et Solana, avec une infrastructure active de commande et de contrôle (C2). L’un des packages a été retiré dans les cinq minutes, mais il a caché son code et envoyé les données volées à l’attaquant. Les pirates s’appuyaient sur des tactiques d’ingénierie sociale et de typosquatting pour tromper les développeurs et voler leur crypto.

Le typosquatting est une tactique où les attaquants créent de faux packages avec des noms similaires à des bibliothèques populaires. Les développeurs peuvent accidentellement installer ces packages malveillants, pensant qu’ils sont légitimes. Le rôle des packages malveillants est de détourner les clés vers un bot Telegram codé en dur.

Les hackers ciblent les développeurs Solana et Ethereum

L’attaque npm malveillante fonctionne en interférant avec les fonctions que les développeurs utilisent pour passer des clés privées. Lorsqu’une fonction est appelée, le package envoie la clé au bot Telegram de l’attaquant avant de renvoyer le résultat attendu. Cela rend l’attaque invisible pour les développeurs non avertis. Selon les chercheurs en sécurité, quatre packages ciblent les développeurs de Solana, tandis qu’un cible les développeurs d’Ethereum.

Les quatre packages ciblant Solana interceptent les appels de decode() Base58, tandis que le package ethersproject-wallet cible le constructeur du portefeuille Ethereum. Tous les packages malveillants s’appuient sur fetch global, qui nécessite Node.js 18 ou une version ultérieure. Sur les versions plus anciennes, la requête échoue silencieusement, et aucune donnée n’est volée. Tous les packages envoient des données au même point de terminaison Telegram.

Le token de bot et l’ID de chat sont codés en dur dans chaque package, et il n’y a pas de serveur externe, donc le canal fonctionne tant que le bot Telegram reste en ligne. Le package raydium-bs58 est le plus simple. Il modifie une fonction de décodage et envoie la clé avant de renvoyer le résultat. Le README est copié d’un SDK légitime, et le champ de l’auteur est vide.

Le deuxième package Solana, base-x-64, cache la charge utile avec de l’obfuscation. La charge utile envoie un message à Telegram avec la clé volée. Le package bs58-basic ne contient pas de code malveillant en lui-même, mais il dépend de base-x-64 et passe la charge utile à travers la chaîne. Le package Ethereum, le package ethersproject-wallet, copie une véritable bibliothèque, @ethersproject/wallet. Le package malveillant insère une ligne supplémentaire après compilation. Le changement n’apparaît que dans le fichier compilé, ce qui confirme une manipulation manuelle.

Tous les packages partagent le même point de terminaison de commande, des typos et des artefacts de construction. Deux packages utilisent des fichiers compilés identiques. Un autre package dépend directement de l’autre. Ces liens pointent vers un seul acteur utilisant le même flux de travail. Des demandes de retrait ont été soumises à npm par des chercheurs en sécurité. Les clés privées perdues à cause de cette attaque sont compromises, et tous les fonds associés devraient être déplacés rapidement vers un nouveau portefeuille.