黑客利用 typosquat npm 包攻擊 ETH 和 SOL 開發者。

Ethereum 和 Solana 開發者們成爲了五個惡意 npm 包的目標，這些包會竊取私鑰並將其發送給攻擊者。這些包利用域名搶注技術，模仿合法的加密庫。.

Socket 的安全研究人員發現，有五個惡意 npm 包發佈在同一個賬戶下。此次惡意活動覆蓋了 Ethereum 和 Solana 生態系統，並擁有活躍的命令與控制 (C2) 基礎設施。.

其中一個軟件包在五分鐘內被取消發佈，但它隱藏了代碼並將竊取的數據發送給了攻擊者。.

黑客攻擊 Ethereum 和 Solana 開發人員。

加密貨幣黑客的目標並非散戶投資者和老年人。他們還會利用社交工程手段和域名搶注來欺騙開發者，竊取他們的加密貨幣。

這些惡意軟件包的作用是將密鑰重定向到一個硬編碼的 Telegram 機器人。.

這種惡意的 npm 攻擊通過鉤住開發者用來傳遞私鑰的函數來實現。當函數被調用時，該包會在返回預期結果之前將密鑰發送給攻擊者的 Telegram 機器人。這使得不知情的開發者難以察覺此次攻擊。

安全研究人員表示，有四個軟件包針對 Solana 開發人員，而有一個軟件包針對 Ethereum 開發人員。.

針對 Solana 四個軟件包攔截 Base58 decode() 調用，而 ethersproject-wallet 軟件包針對 Ethereum Wallet 構造函數。.

所有惡意軟件包都依賴於全局 fetch，這需要 Node.js 18 或更高版本。在舊版本中，請求會靜默失敗，不會竊取任何數據。.

所有數據包都向同一個Telegram端點發送數據。機器人令牌和聊天 ID 都硬編碼在每個數據包中，而且沒有外部服務器，因此只要 Telegram 機器人保持在線，頻道就能正常工作。

raydium-bs58 包是最簡單的。它修改了一個解碼函數，並在返回結果之前發送密鑰。README 文件是從正規的 SDK 複製而來，作者一欄爲空。.

第二個 Solana 軟件包 base-x-64 使用混淆技術隱藏有效載荷。該有效載荷會向 Telegram 發送一條包含竊取密鑰的消息。.

bs58-basic 軟件包本身不包含惡意代碼，但它依賴於 base-x-64，並將有效載荷通過該鏈傳遞。.

Ethereum 軟件包 ethersproject-wallet 複製了真實的庫 @ethersproject/wallet。惡意軟件包在編譯後插入了一行額外的代碼。該更改僅出現在編譯後的文件中，這證實了人爲篡改。.

所有軟件包共享相同的命令端點、拼寫錯誤和構建產物。兩個軟件包使用dent的編譯文件。另一個軟件包直接依賴於另一個軟件包。這些鏈接指向使用相同工作流程的同一個參與者。.

安全研究人員已向 npm 提交了下架請求。此次攻擊導致私鑰泄露，相關資金應儘快轉移到新的錢包。.

最頂尖的加密貨幣專家都在閱讀我們的簡報。想加入他們？