供应链攻击已破坏 @solana/web3.js 库 1.95.6 和 1.95.7 版本,该库是广泛用于构建 Solana 区块链应用程序的关键 JavaScript 工具。
该库在 npm 上的每周下载量超过 350,000 次,其中包含可能窃取私钥的恶意代码,对开发人员和最终用户构成重大风险。
该问题于 2024 年 12 月 3 日曝光,涉及注入代码,该代码会将私钥泄露到硬编码的 Solana 地址:
FnvLGtucz4E1ppJHRTev6Qv4X7g8Pw6WPStHCcbAKbfx。
集成受感染版本的开发人员可能会暴露敏感密钥,从而使攻击者有可能从受影响的加密货币钱包中窃取资金。
安全研究人员认为,此次攻击是针对 @solana/web3.js 库维护者的网络钓鱼或社会工程活动的结果。
https://socket.dev/blog/supply-chain-attack-solana-web3-js-library
Datadog 的云安全研究员 Christophe Tafani-Dereeper 分析了恶意更新,并指出注入的“addToQueue”函数通过 Cloudflare 标头泄露私钥。
此功能隐藏在合法的代码路径中,难以检测。
托管在域 sol-rpc.xyz(11 月 22 日注册)上的命令和控制 (C2) 服务器目前处于非活动状态。
该问题主要影响:
- 1. 使用@solana/web3.js 版本 1.95.6 或 1.95.7 的开发人员可能会在他们的应用程序中暴露私钥。
- 2. 如果直接处理私钥,则使用依赖这些版本的应用程序管理的钱包的用户很容易受到攻击。
重要的是,非托管钱包不会受到影响,因为它们在交易期间不会暴露私钥。
专注于 Solana 的研发公司澄清说,这次攻击源于受损的发布访问帐户,而不是 Solana 协议的固有缺陷。
开发人员应立即采取行动
- 1. 审计依赖项:检查所有项目是否使用@solana/web3.js 版本 1.95.6 或 1.95.7。
- 2. 回滚或更新:恢复到 1.95.6 之前的版本或升级到新发布的已删除后门的 1.95.8 版本。
- 3. 检查代码:检查 node_modules 目录是否有可疑的修改。
- 4. 撤销访问权限:重新生成任何受损的密钥并撤销与其相关的权限。
开发人员还可以使用 Socket 的 CLI 扫描器 (socket scan create .) 等工具来检测其存储库中受影响的依赖项。
npm 已迅速采取行动,从其注册表中删除了恶意版本,从而限制了进一步的下载。
虽然这可以防止新用户获取受感染的库,但现有的实现仍然存在风险。
原文始发于微信公众号(网络研究观):供应链攻击袭击 Solana 核心库,钱包面临风险
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论