Un hacker ataca a desarrolladores de ETH y SOL mediante paquetes npm con errores tipográficos

Los desarrolladores Ethereum y Solana fueron blanco de cinco paquetes npm maliciosos que robaban claves privadas y las enviaban al atacante. Estos paquetes se basan en el typosquatting, imitando bibliotecas criptográficas legítimas.

Investigadores de seguridad de Socket descubrieron cinco paquetes npm maliciosos publicados bajo una misma cuenta. La campaña maliciosa abarca los ecosistemas Ethereum y Solana , con una infraestructura activa de comando y control (C2).

Uno de los paquetes fue despublicado en cinco minutos, pero ocultó su código y envió datos robados al atacante.

Los hackers atacan a los desarrolladores Ethereum y Solana

Los ciberdelincuentes no solo atacan a los inversores minoristas y a las personas mayores. Recurren a tácticas de ingeniería social y al typosquatting para engañar a los desarrolladores y robarles sus criptomonedas.

La función de los paquetes maliciosos es desviar las claves a un bot de Telegram programado de forma predeterminada.

El ataque malicioso de npm funciona interceptando funciones que los desarrolladores utilizan para pasar claves privadas. Cuando se llama a una función, el paquete envía la clave al bot de Telegram del atacante antes de devolver el resultado esperado. Esto hace que el ataque sea invisible para los desarrolladores que no están al tanto.

Según los investigadores de seguridad, cuatro paquetes están dirigidos a los desarrolladores Solana , mientras que uno está dirigido a los desarrolladores Ethereum .

Los cuatro paquetes dirigidos a Solana interceptan las llamadas a Base58 decode(), mientras que el paquete ethersproject-wallet se dirige al constructor Ethereum Wallet.

Todos los paquetes maliciosos dependen de la función global fetch, que requiere Node.js 18 o posterior. En versiones anteriores, la solicitud falla silenciosamente y no se roba ningún dato.

Todos los paquetes envían datos al mismo de Telegram . El token del bot y el ID del chat están codificados en cada paquete, y no hay ningún servidor externo, por lo que el canal funciona mientras el bot de Telegram permanezca en línea.

El paquete raydium-bs58 es el más sencillo. Modifica una función de decodificación y envía la clave antes de devolver el resultado. El archivo README se copió de un SDK legítimo y el campo de autor está vacío.

El segundo paquete Solana , base-x-64, oculta la carga útil mediante ofuscación. Esta carga útil envía un mensaje a Telegram con la clave robada.

El paquete bs58-basic no contiene código malicioso en sí mismo, pero depende de base-x-64 y transmite la carga útil a través de la cadena.

El paquete Ethereum , ethersproject-wallet, copia una biblioteca legítima, @ethersproject/wallet. El paquete malicioso inserta una línea adicional después de la compilación. El cambio solo aparece en el archivo compilado, lo que confirma la manipulación manual.

Todos los paquetes comparten el mismo punto final de comando, errores tipográficos y artefactos de compilación. Dos paquetes utilizan archivos compiladosdent. Otro paquete depende directamente del otro. Estos enlaces apuntan a un único actor que utiliza el mismo flujo de trabajo.

Investigadores de seguridad han enviado solicitudes de eliminación a npm. Las claves privadas perdidas en este ataque están comprometidas y los fondos asociados deben transferirse rápidamente a una nueva billetera.

Las mentes más brillantes del mundo de las criptomonedas ya leen nuestro boletín. ¿Te apuntas? ¡ Únete !