Premint 恶意代码注入攻击细节分析

admin 2022年7月20日14:29:16安全文章评论6 views1940字阅读6分28秒阅读模式

月 17 日,据慢雾区情报反馈,Premint 遭遇黑客攻击。慢雾安全团队在第一时间进行分析和预警。


Premint 恶意代码注入攻击细节分析


本文来自慢雾区伙伴 Scam Sniffer 的投稿,具体分析如下:


攻击细节


打开任意 Premint 项目页面,可以看到有个 cdn.min.js 注入到了页面中,看调用栈该 js 是由 [boomerang.min.js](https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js) 注入,目前该 s3-redwood-labs-premint-xyz.com 域名已经停止解析,无法正常访问了。


Premint 恶意代码注入攻击细节分析


查询 Whois,该域名在 2022-07-16 注册于 Tucows Domains Inc:


Premint 恶意代码注入攻击细节分析


打开 virustotal.com 可以看到该域名之前曾解析到 CloudFlare:


Premint 恶意代码注入攻击细节分析


打开源代码可以看到 boomerang.min.js 是 Premint 用到的一个 UI 库:


Premint 恶意代码注入攻击细节分析


该 js 是在 s3-redwood-labs.premint.xyz 域名下,猜测:

  • 上传文件接口有漏洞可以上传任意文件到任意 Path (比较常见的 Web 漏洞)

  • 黑客拿到了他们这个 Amazon S3 的权限,从而可以注入恶意代码

  • 这个第三方库被供应链攻击污染了


把 boomerang.min.js 代码下载下来,前面都是正常的代码,但是末尾有一段经过加密的代码:


Premint 恶意代码注入攻击细节分析


这段代码负责把代码 s3-redwood-labs-premint-xyz.com/cdn.min.js 注入到页面。


恶意代码 cdn.min.js


Premint 恶意代码注入攻击细节分析


Premint 恶意代码注入攻击细节分析


Premint 恶意代码注入攻击细节分析


根据代码内容,可以大致看到有通过调用 dappradar.com 的接口来查询用户的 NFT 资产列表(此前我们也有看到恶意网站通过 Debank,Opensea 的 API 来查询用户资产等)。


如果用户持有相关 NFT 资产:


Premint 恶意代码注入攻击细节分析


Premint 恶意代码注入攻击细节分析


恶意代码会以 Two-step wallet 验证的借口,发起 setApprovalForAll 让用户授权给他们后端接口返回的地址(攻击者一般为了提高封禁成本,基本上会分流并且每个地址控制在 200 个交易内)。


如果用户点了 Approve,攻击者还会调用监测代码通知自己有人点击了:


Premint 恶意代码注入攻击细节分析

如果用户地址没有 NFT 资产时,它还会尝试直接发起转移钱包里的 ETH 的资产请求:


Premint 恶意代码注入攻击细节分析

另外这种代码变量名加密成 _0xd289 _0x 开头的方式,我们曾经在 play-otherside.org,thesaudisnfts.xyz 这些钓鱼网站也见到过。


根据用户资产发起 setApprovalForAll 或者直接转移 ETH,并且阻止用户使用开发者工具 debug。


预防方式


Premint 恶意代码注入攻击细节分析


那么作为普通用户如何预防?现阶段 MetaMask 对 ERC 721 的 setApprovalForAll 的风险提示,远没有 ERC20 的 Approve 做好。


Premint 恶意代码注入攻击细节分析


即使很多新用户无法感知到这个行为的风险,但我们作为普通用户看到带 Approve 之类的交易一定要仔细打开授权给相关地址,看看这些地址最近的交易是否异常(比如清一色的 safeTransferFrom),避免误授权!


这种攻击和上次 Etherscan 上 Coinzilla 利用广告注入恶意的攻击方式挺相似的,那么在技术上有没有可能预防?


Premint 恶意代码注入攻击细节分析


理论上如果已知一些恶意 js 代码的行为和特征:

  • 比如说代码的加密方式

  • 恶意代码关键特征

  • 代码会反 debug

  • 会调用 opensea, debank, dappradar 等 API 查询用户资产


根据这些恶意代码的行为特征库,那么我们可以尝试在客户端网页发起交易前,检测页面有没有包含已知恶意特征的代码来探测风险,或者直接更简单一点,对常见的网站设立白名单机制,不是交易类网站发起授权,给到足够的风险提醒等。


接下来 Scam Sniffer 和慢雾安全团队也会尝试探索一下如何在客户端来预防此类的攻击发生!


Ps. 感谢作者 Scam Sniffer 的精彩分析


往期回顾

智能合约安全审计入门篇 —— 随机数

从 The Saudis NFT 事件浅析 EIP-2535 钻石协议

熊市新考验 —— XCarnival NFT 借贷协议漏洞分析

智能合约安全审计入门篇 —— delegatecall (2)

保护你的钱包!假钱包全景追踪

Premint 恶意代码注入攻击细节分析

慢雾导航


慢雾科技官网

https://www.slowmist.com/


慢雾区官网

https://slowmist.io/


慢雾 GitHub

https://github.com/slowmist


Telegram

https://t.me/slowmistteam


Twitter

https://twitter.com/@slowmist_team


Medium

https://medium.com/@slowmist


知识星球

https://t.zsxq.com/Q3zNvvF


原文始发于微信公众号(慢雾科技):Premint 恶意代码注入攻击细节分析

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月20日14:29:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Premint 恶意代码注入攻击细节分析 http://cn-sec.com/archives/1185106.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: