警惕!恶意npm包通过Gmail SMTP窃取Solana钱包私钥

admin 2025年2月7日00:22:52评论13 views字数 1769阅读5分53秒阅读模式
警惕!恶意npm包通过Gmail SMTP窃取Solana钱包私钥

近日,网络安全研究人员在npmPython Package Index (PyPI)仓库中发现了一系列恶意软件包,这些软件包不仅能够窃取数据,还能删除受感染系统中的敏感文件。其中,部分恶意包专门针对Solana钱包,通过Gmail的SMTP服务器窃取私钥,并自动转移受害者钱包中的资金。

恶意包列表与功能

以下是已识别的恶意包列表:

  • npm包

    • @async-mutex/mutex(async-mute的仿冒包)

    • dexscreener(伪装成访问去中心化交易所流动性池数据的库)

    • solana-transaction-toolkit

    • solana-stable-web-huks

    • cschokidar-next(chokidar的仿冒包)

    • achokidar-next(chokidar的仿冒包)

    • achalk-next(chalk的仿冒包)

    • csbchalk-next(chalk的仿冒包)

    • cschalk(chalk的仿冒包)

  • PyPI包

    • pycord-self(discord.py-self的仿冒包)

攻击手法:窃取Solana私钥并转移资金

供应链安全公司Socket指出,前四个npm包(@async-mutex/mutex、dexscreener、solana-transaction-toolkit和solana-stable-web-huks)专门设计用于拦截Solana钱包的私钥,并通过Gmail的SMTP服务器将私钥发送给攻击者。其中,solana-transaction-toolkitsolana-stable-web-huks还会自动将受害者钱包中高达98%的资金转移到攻击者控制的Solana地址。

安全研究员Kirill Boychenko表示:“由于Gmail是受信任的电子邮件服务,这种数据外泄行为不太可能被防火墙或终端检测系统标记,因为smtp.gmail.com通常被视为合法流量。”

攻击者利用GitHub扩大攻击范围

Socket还发现,攻击者通过GitHub发布了两份仓库,分别名为moonshot-wif-hwanDiveinprogramming,声称包含Solana开发工具或自动化DeFi工作流的脚本,但实际上导入了恶意npm包。例如,moonshot-wif-hwan仓库中的一个脚本被宣传为用于在Raydium(一个流行的Solana去中心化交易所)上进行交易的机器人,但实际上导入了solana-stable-web-huks包中的恶意代码。

这些GitHub仓库已被关闭,但攻击者的行为表明,他们试图通过针对开发者的搜索习惯,扩大攻击范围。

更危险的“删除开关”功能

另一组npm包(如csbchalk-next)不仅窃取环境变量,还包含一个“删除开关”功能,能够递归删除项目特定目录中的所有文件。这些包仅在从服务器接收到代码“202”后才会启动删除操作,显示出攻击者对目标系统的深度控制。

针对Python开发者的Discord后门

PyPI包pycord-self则针对希望将Discord API集成到项目中的Python开发者。该包会捕获Discord身份验证令牌,并在安装后连接到攻击者控制的服务器,为攻击者提供持久的后门访问权限。

背景与趋势:针对开发者的供应链攻击愈演愈烈

此次事件是近年来针对开发者生态系统的供应链攻击的又一例证。此前,攻击者还曾利用虚假的PyPI包针对Roblox玩家,诱骗他们下载窃取数据的恶意软件(如Skuld和Blank-Grabber)。这些攻击表明,攻击者正越来越多地利用开源生态系统的信任链,实施高度针对性的攻击。

防御建议:谨慎使用第三方库

为防范此类攻击,开发者应采取以下措施:

  1. 验证库的来源:仅从官方或可信来源下载库,避免使用仿冒包。

  2. 检查权限请求:对于要求过多权限的库保持警惕。

  3. 定期扫描依赖项:使用工具检查项目依赖项中是否存在已知的恶意包。

  4. 启用安全防护:在开发环境中部署防火墙和终端检测系统,监控异常流量。

总结

此次恶意npm包事件再次提醒我们,供应链攻击已成为网络安全的主要威胁之一。无论是Solana开发者还是普通用户,都应提高警惕,采取有效的防护措施,避免成为攻击者的目标。

原文始发于微信公众号(技术修道场):警惕!恶意npm包通过Gmail SMTP窃取Solana钱包私钥

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月7日00:22:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   警惕!恶意npm包通过Gmail SMTP窃取Solana钱包私钥http://cn-sec.com/archives/3704772.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息