پکیج‌های مخرب npm، کلیدهای خصوصی و وجوه کیف پول‌های Solana را ربودند!

تیم تحقیقاتی Socket ، پکیج‌‌های npm مخربی را کشف کرده است که برای استخراج کلیدهای خصوصی کیف پول Solana از طریق Gmail طراحی شده‌اند. این پکیج‌های مخرب دارای قابلیت‌هایی برای سرقت داده و حتی حذف داده‌های حساس از سیستم‌های آلوده هستند. لیست این پکیج‌ها به شرح زیر است:

• @async-mutex/mutex – یک پکیج تایپسکوات شده برای  async-muteاست (این پکیج مخرب تاکنون ۲۴۰ بار دانلود شده است).
• Dexscreener یک کتابخانه و ابزار برای بررسی و تجزیه و تحلیل داده‌های مربوط به DEX  (صرافی‌های غیرمتمرکز) است. این ابزار به طور خاص برای تجزیه و تحلیل داده‌های مربوط به توکن‌ها، جفت‌های معاملاتی، و حجم معاملات در صرافی‌های غیرمتمرکز مختلف و تعامل با پلتفرم  DEX Screener (npm)طراحی شده است.
• solana-transaction-toolkit (npm)
•  solana-stable-web-huks (npm)
• cschokidar-next – یک پکیج تایپسکوات شده برای chokidar (npm) است.
• achokidar-next – یک پکیج تایپسکوات شده برای chokidar (npm) است.
• achalk-next – یک پکیج تایپسکوات شده برای chalk (npm) است.
• csbchalk-next – یک پکیج تایپسکوات شده برای chalk (npm) است.
• cschalk –  یک پکیج تایپسکوات شده برای chalk (npm) است.
• pycord-self – یک پکیج تایپسکوات شده برای discord.py-self (PyPI) است.

مهاجم، پکیج‌های تایپسکوات شده را با هدف فریب توسعه‌ دهندگان به منظور نصب بدافزار  منتشر می‌کند. توسعه‌دهندگان ناآگاه نیز این نسخه‌های جعلی از کتابخانه‌های واقعی را دانلود و استفاده می‌کنند. کتابخانه‌های جعلی و Typosquatting معمولاً با تغییرات کوچک در نام کتابخانه‌های اصلی (مانند اضافه یا حذف یک کاراکتر) منتشر می‌شوند.

چهار پکیج اول برای رهگیری کلیدهای خصوصی Solana و انتقال آنها از طریق سرورهای SMTP جیمیل با هدف احتمالی استخراج ارز و تخلیه کیف پول قربانیان طراحی شده‌اند.

پکیج‌های solana-transaction-toolkit  و solana-stable-web-huks در حالی که مدعی هستند عملکردهای خاص Solana  را ارائه می‌دهند اما به صورت برنامه‌ریزی شده کیف پول‌ها را تخلیه می‌کنند و به طور خودکار تا ۹۸ درصد از محتویات آنها را به یک آدرس Solana تحت کنترل مهاجم منتقل می‌کنند!

از آنجایی که Gmail یک سرویس ایمیل قابل اطمینان است، این تلاش‌ها برای نفوذ، کمتر توسط فایروال‌ها یا سیستم‌های تشخیص endpoint ، شناسایی می‌شوند چرا مکانیزم‌های امنیتی، smtp.gmail.com را به عنوان ترافیک قانونی تلقی می‌کنند.

Socket مدعی است که این پکیج‌ها توسط دو مخزن GitHub و از جانب تهدید کننده‌هایی که در پشت ابزارهای solana-transaction-toolkit و solana-stable-web-huks قرار داشتند، منتشر شده‌اند و توسعه دهندگانی را که به دنبال ابزار Solana بودند مورد هدف قرار داده‌اند.

هکرها مدعی هستند که این پکیج‌ها، حاوی ابزارهای توسعه Solana یا اسکریپت هایی برای خودکارسازی گردش‌های کاری DeFi می‌باشند اما در واقعیت پیکج‌های npm  آلوده به بدافزار بودند.

اکانت‌های گیت هاب (‘moonshot-wif-hwan’ و  ‘Diveinprogramming’) مرتبط با این مخازن دیگر قابل دسترس نیستند.

یک اسکریپت در مخزن GitHub تهدید کننده moonshot-wif-hwan/pumpfun-bump-script-bot وجود دارد که به عنوان رباتی برای تجارت در  Raydium، یک DEX محبوب مبتنی بر  Solana، تبلیغ می‌شود اما کدهای مخرب را از پکیج solana-stable-web-huks وارد می‌کند.

استفاده از مخازن مخرب GitHub نشان دهنده تلاش مهاجمان برای راه اندازی کمپین‌های گسترده فراتر از npm با هدف نفوذ به توسعه دهندگانی است که ممکن است به دنبال ابزارهای مرتبط با Solana در پلتفرم میزبانی کد متعلق به مایکروسافت باشند.

مجموعه دوم پیکج‌های مخرب npm با ترکیب یک تابع ‘kill switch’ که به صورت بازگشتی همه فایل‌ها را در دایرکتوری‌های پروژه خاص پاک می‌کنند، علاوه بر این که در برخی موارد متغیرهای محیطی را به سرور راه دور منتقل می‌کنند، عملکرد مخرب خود را به سطح بالاتری ارتقا می‌دهند. .
پکیج جعلی csbchalk-next همانند نسخه‌های تایپسکوات شده chokidar عمل می‌کند، تنها تفاوت این است که عملیات حذف داده‌ها را تنها پس از دریافت کد ‘202’ از سرور آغاز می‌کند.

از سوی دیگر، پکیج Pycord-self  نیز توسعه دهندگان پایتون را که به دنبال ادغام APIهای Discord در پروژه‌های خود هستند، جذب می‌کند و توکن‌های احراز هویت Discord  آنها را جمع آوری و به یک سرور تحت کنترل مهاجم ارسال خواهد کرد و بکدوری را روی سیستم‌های ویندوز و لینوکس نصب می‌کند تا مهاجم به آنها دسترسی داشته باشد.

Pycord-self یک نسخه سفارشی از کتابخانه Pycord است که برای توسعه ربات‌های دیسکورد (Discord bots) استفاده می‌شود. Pycord، خود یک کتابخانه پایتون است که برای تعامل با API دیسکورد طراحی شده است. این کتابخانه برای ساخت ربات‌ها، مدیریت سرورها و انجام انواع مختلفی از کارها در دیسکورد مانند ارسال پیام‌ها، پاسخ به دستورات، مدیریت کاربران و موارد مشابه، استفاده می‌شود.

اقدامات پیشگیرانه

1. بررسی دقیق نام کتابخانه‌ها: همیشه نام کامل و دقیق کتابخانه را از منابع معتبر یا مستندات رسمی بررسی کنید.
2. تحقیق در مورد توسعه دهنده آن: اطمینان حاصل کنید که کتابخانه توسط یکتوسعه دهنده یا سازمان معتبر منتشر شده باشد.
3. بررسی تعداد دانلودها:کتابخانه‌های معتبر معمولاً تعداد دانلودهای بسیار زیادی دارند.
4. بررسی مخزنGitHub: کتابخانه‌های قانونی معمولاً دارای مستندات و سورس‌کد در مخازن عمومی GitHub هستند.
5. استفاده از ابزارهای امنیتی:ابزارهایی مانند npm audit و Dependabot می‌توانند مشکلات امنیتی بالقوه را شناسایی کنند.

در صورت شناسایی کتابخانه مخرب:

• به تیم npm  گزارش دهید: کتابخانه‌های جعلی را از طریق ایمیل یا سیستم گزارش npm اطلاع دهید.
• پاک‌سازی محیط توسعه: چنانچه کتابخانه مخرب نصب شده است، فوراً آن را حذف و وابستگی‌ها و ملزومات آن را مورد بررسی قرار دهید.
• بررسی دسترسی‌ها: مطمئن شوید که هیچ‌گونه اطلاعات حساسی فاش نشده و در اختیار هکرها قرار نگرفته است.

IOCها

پکیج‌های مخرب npm:

• @async-mutex/mutex
• dexscreener
• solana-transaction-toolkit
• solana-stable-web-huks

اکانت‌های ایمیل:

• vision.high.ever@gmail.com
• james.liu.vectorspace@gmail.com
• qadeerkhanr5@gmail.com
• czhanood@gmail.com
• khansaleem789700@gmail.com
• mujeerasghar7700@gmail.com

آدرس solana تحت کنترل مهاجم:

• 3RbBjhVRi8qYoGB5NLiKEszq2ci559so4nPqv2iNjs8Q

نام مستعار تهدید کننده‌ها در مخازن npm و GitHub:

• async-mutex (npm registry)
• james0203 (npm registry)
• solana-web-stable-huks (npm registry)
• moonshot-wif-hwan (GitHub)
• Diveinprogramming (GitHub)

مخازن GitHub تهدید کننده‌ها:

• https://github.com/moonshot-wif-hwan
• https://github.com/Diveinprogramming

منابع