近日,网络安全研究人员在npm和Python Package Index (PyPI)仓库中发现了一系列恶意软件包,这些软件包不仅能够窃取数据,还能删除受感染系统中的敏感文件。其中,部分恶意包专门针对Solana钱包,通过Gmail的SMTP服务器窃取私钥,并自动转移受害者钱包中的资金。
恶意包列表与功能
以下是已识别的恶意包列表:
-
npm包:
-
@async-mutex/mutex(async-mute的仿冒包)
-
dexscreener(伪装成访问去中心化交易所流动性池数据的库)
-
solana-transaction-toolkit
-
solana-stable-web-huks
-
cschokidar-next(chokidar的仿冒包)
-
achokidar-next(chokidar的仿冒包)
-
achalk-next(chalk的仿冒包)
-
csbchalk-next(chalk的仿冒包)
-
cschalk(chalk的仿冒包)
-
PyPI包:
-
pycord-self(discord.py-self的仿冒包)
攻击手法:窃取Solana私钥并转移资金
供应链安全公司Socket指出,前四个npm包(@async-mutex/mutex、dexscreener、solana-transaction-toolkit和solana-stable-web-huks)专门设计用于拦截Solana钱包的私钥,并通过Gmail的SMTP服务器将私钥发送给攻击者。其中,solana-transaction-toolkit和solana-stable-web-huks还会自动将受害者钱包中高达98%的资金转移到攻击者控制的Solana地址。
安全研究员Kirill Boychenko表示:“由于Gmail是受信任的电子邮件服务,这种数据外泄行为不太可能被防火墙或终端检测系统标记,因为smtp.gmail.com通常被视为合法流量。”
攻击者利用GitHub扩大攻击范围
Socket还发现,攻击者通过GitHub发布了两份仓库,分别名为moonshot-wif-hwan和Diveinprogramming,声称包含Solana开发工具或自动化DeFi工作流的脚本,但实际上导入了恶意npm包。例如,moonshot-wif-hwan仓库中的一个脚本被宣传为用于在Raydium(一个流行的Solana去中心化交易所)上进行交易的机器人,但实际上导入了solana-stable-web-huks包中的恶意代码。
这些GitHub仓库已被关闭,但攻击者的行为表明,他们试图通过针对开发者的搜索习惯,扩大攻击范围。
更危险的“删除开关”功能
另一组npm包(如csbchalk-next)不仅窃取环境变量,还包含一个“删除开关”功能,能够递归删除项目特定目录中的所有文件。这些包仅在从服务器接收到代码“202”后才会启动删除操作,显示出攻击者对目标系统的深度控制。
针对Python开发者的Discord后门
PyPI包pycord-self则针对希望将Discord API集成到项目中的Python开发者。该包会捕获Discord身份验证令牌,并在安装后连接到攻击者控制的服务器,为攻击者提供持久的后门访问权限。
背景与趋势:针对开发者的供应链攻击愈演愈烈
此次事件是近年来针对开发者生态系统的供应链攻击的又一例证。此前,攻击者还曾利用虚假的PyPI包针对Roblox玩家,诱骗他们下载窃取数据的恶意软件(如Skuld和Blank-Grabber)。这些攻击表明,攻击者正越来越多地利用开源生态系统的信任链,实施高度针对性的攻击。
防御建议:谨慎使用第三方库
为防范此类攻击,开发者应采取以下措施:
-
验证库的来源:仅从官方或可信来源下载库,避免使用仿冒包。
-
检查权限请求:对于要求过多权限的库保持警惕。
-
定期扫描依赖项:使用工具检查项目依赖项中是否存在已知的恶意包。
-
启用安全防护:在开发环境中部署防火墙和终端检测系统,监控异常流量。
总结
此次恶意npm包事件再次提醒我们,供应链攻击已成为网络安全的主要威胁之一。无论是Solana开发者还是普通用户,都应提高警惕,采取有效的防护措施,避免成为攻击者的目标。
原文始发于微信公众号(技术修道场):警惕!恶意npm包通过Gmail SMTP窃取Solana钱包私钥
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论