黑客利用 typosquat npm 包攻击 ETH 和 SOL 开发者。

Ethereum 和 Solana 开发者们成为了五个恶意 npm 包的目标，这些包会窃取私钥并将其发送给攻击者。这些包利用域名抢注技术，模仿合法的加密库。.

Socket 的安全研究人员发现，有五个恶意 npm 包发布在同一个账户下。此次恶意活动覆盖了 Ethereum 和 Solana 生态系统，并拥有活跃的命令与控制 (C2) 基础设施。.

其中一个软件包在五分钟内被取消发布，但它隐藏了代码并将窃取的数据发送给了攻击者。.

黑客攻击 Ethereum 和 Solana 开发人员。

加密货币黑客的目标并非散户投资者和老年人。他们还会利用社交工程手段和域名抢注来欺骗开发者，窃取他们的加密货币。

这些恶意软件包的作用是将密钥重定向到一个硬编码的 Telegram 机器人。.

这种恶意的 npm 攻击通过钩住开发者用来传递私钥的函数来实现。当函数被调用时，该包会在返回预期结果之前将密钥发送给攻击者的 Telegram 机器人。这使得不知情的开发者难以察觉此次攻击。

安全研究人员表示，有四个软件包针对 Solana 开发人员，而有一个软件包针对 Ethereum 开发人员。.

针对 Solana 四个软件包拦截 Base58 decode() 调用，而 ethersproject-wallet 软件包针对 Ethereum Wallet 构造函数。.

所有恶意软件包都依赖于全局 fetch，这需要 Node.js 18 或更高版本。在旧版本中，请求会静默失败，不会窃取任何数据。.

所有数据包都向同一个Telegram端点发送数据。机器人令牌和聊天 ID 都硬编码在每个数据包中，而且没有外部服务器，因此只要 Telegram 机器人保持在线，频道就能正常工作。

raydium-bs58 包是最简单的。它修改了一个解码函数，并在返回结果之前发送密钥。README 文件是从正规的 SDK 复制而来，作者一栏为空。.

第二个 Solana 软件包 base-x-64 使用混淆技术隐藏有效载荷。该有效载荷会向 Telegram 发送一条包含窃取密钥的消息。.

bs58-basic 软件包本身不包含恶意代码，但它依赖于 base-x-64，并将有效载荷通过该链传递。.

Ethereum 软件包 ethersproject-wallet 复制了真实的库 @ethersproject/wallet。恶意软件包在编译后插入了一行额外的代码。该更改仅出现在编译后的文件中，这证实了人为篡改。.

所有软件包共享相同的命令端点、拼写错误和构建产物。两个软件包使用dent的编译文件。另一个软件包直接依赖于另一个软件包。这些链接指向使用相同工作流程的同一个参与者。.

安全研究人员已向 npm 提交了下架请求。此次攻击导致私钥泄露，相关资金应尽快转移到新的钱包。.

最顶尖的加密货币专家都在阅读我们的简报。想加入他们？