Experti v oblasti kybernetické bezpečnosti objevili několik podezřelých balíčků publikovaných v registru npm, které jsou navrženy tak, aby získávaly soukromé klíče Ethereum a získaly vzdálený přístup k počítači prostřednictvím protokolu secure shell (SSH).
Balíčky se pokoušejí „získat SSH přístup k počítači oběti tím, že zapíší veřejný klíč útočníka do souboru authorized_keys uživatele root,“ uvedla společnost Phylum, která se zabývá bezpečností softwarového dodavatelského řetězce, ve zveřejněné analýze.
Seznam balíčků, které se snaží napodobit legitimní balíček ethers, identifikovaných jako součást kampaně, je následující:
– ethers-mew (62 stažení)
– ethers-web3 (110 stažení)
– ethers-6 (56 stažení)
– ethers-eth (58 stažení)
– ethers-aaa (781 stažení)
– ethers-audit (69 stažení)
– ethers-test (336 stažení)
Některé z těchto balíčků, většina, z nichž byla publikována účty s názvy „crstianokavic“ a „timyorks“, jsou považovány za vydané pro testovací účely, protože většina z nich obsahuje minimální změny. Nejnovější a nejkompletnější balíček v seznamu je ethers-mew.
Nejedná se o první případ, kdy byly v registru npm objeveny škodlivé balíčky s podobnou funkcionalitou. V srpnu 2023 Phylum podrobně popsal balíček s názvem ethereum-cryptographyy, což byl překlep populární kryptoměnové knihovny, který exfiltroval soukromé klíče uživatelů na server v Číně.
Nejnovější útočná kampaň přijímá mírně odlišný přístup v tom, že škodlivý kód je přímo vložen do balíčků, což umožňuje útočníkům krást soukromé klíče Ethereum na doménu „ether-sign[.]com“ pod jejich kontrolou.
Co činí tento útok mnohem zákeřnějším, je skutečnost, že vyžaduje, aby vývojář skutečně použil balíček ve svém kódu – například vytvořením nové instance peněženky pomocí importovaného balíčku – na rozdíl od obvykle pozorovaných případů, kdy stačí pouze nainstalovat balíček, aby se spustilo provedení malwaru.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
