警惕！恶意npm包通过Gmail SMTP窃取Solana钱包私钥

近日，网络安全研究人员在npm和Python Package Index (PyPI)仓库中发现了一系列恶意软件包，这些软件包不仅能够窃取数据，还能删除受感染系统中的敏感文件。其中，部分恶意包专门针对Solana钱包，通过Gmail的SMTP服务器窃取私钥，并自动转移受害者钱包中的资金。

恶意包列表与功能

以下是已识别的恶意包列表：

• npm包：

• @async-mutex/mutex（async-mute的仿冒包）

• dexscreener（伪装成访问去中心化交易所流动性池数据的库）

• solana-transaction-toolkit

• solana-stable-web-huks

• cschokidar-next（chokidar的仿冒包）

• achokidar-next（chokidar的仿冒包）

• achalk-next（chalk的仿冒包）

• csbchalk-next（chalk的仿冒包）

• cschalk（chalk的仿冒包）

• PyPI包：

• pycord-self（discord.py-self的仿冒包）

攻击手法：窃取Solana私钥并转移资金

供应链安全公司Socket指出，前四个npm包（@async-mutex/mutex、dexscreener、solana-transaction-toolkit和solana-stable-web-huks）专门设计用于拦截Solana钱包的私钥，并通过Gmail的SMTP服务器将私钥发送给攻击者。其中，solana-transaction-toolkit和solana-stable-web-huks还会自动将受害者钱包中高达98%的资金转移到攻击者控制的Solana地址。

安全研究员Kirill Boychenko表示：“由于Gmail是受信任的电子邮件服务，这种数据外泄行为不太可能被防火墙或终端检测系统标记，因为smtp.gmail.com通常被视为合法流量。”

攻击者利用GitHub扩大攻击范围

Socket还发现，攻击者通过GitHub发布了两份仓库，分别名为moonshot-wif-hwan和Diveinprogramming，声称包含Solana开发工具或自动化DeFi工作流的脚本，但实际上导入了恶意npm包。例如，moonshot-wif-hwan仓库中的一个脚本被宣传为用于在Raydium（一个流行的Solana去中心化交易所）上进行交易的机器人，但实际上导入了solana-stable-web-huks包中的恶意代码。

这些GitHub仓库已被关闭，但攻击者的行为表明，他们试图通过针对开发者的搜索习惯，扩大攻击范围。

更危险的“删除开关”功能

另一组npm包（如csbchalk-next）不仅窃取环境变量，还包含一个“删除开关”功能，能够递归删除项目特定目录中的所有文件。这些包仅在从服务器接收到代码“202”后才会启动删除操作，显示出攻击者对目标系统的深度控制。

针对Python开发者的Discord后门

PyPI包pycord-self则针对希望将Discord API集成到项目中的Python开发者。该包会捕获Discord身份验证令牌，并在安装后连接到攻击者控制的服务器，为攻击者提供持久的后门访问权限。

背景与趋势：针对开发者的供应链攻击愈演愈烈

此次事件是近年来针对开发者生态系统的供应链攻击的又一例证。此前，攻击者还曾利用虚假的PyPI包针对Roblox玩家，诱骗他们下载窃取数据的恶意软件（如Skuld和Blank-Grabber）。这些攻击表明，攻击者正越来越多地利用开源生态系统的信任链，实施高度针对性的攻击。

防御建议：谨慎使用第三方库

为防范此类攻击，开发者应采取以下措施：

1. 验证库的来源：仅从官方或可信来源下载库，避免使用仿冒包。

2. 检查权限请求：对于要求过多权限的库保持警惕。

3. 定期扫描依赖项：使用工具检查项目依赖项中是否存在已知的恶意包。

4. 启用安全防护：在开发环境中部署防火墙和终端检测系统，监控异常流量。

总结

此次恶意npm包事件再次提醒我们，供应链攻击已成为网络安全的主要威胁之一。无论是Solana开发者还是普通用户，都应提高警惕，采取有效的防护措施，避免成为攻击者的目标。

原文始发于微信公众号（技术修道场）：警惕！恶意npm包通过Gmail SMTP窃取Solana钱包私钥