Новости Хакеры скомпрометировали цепочку поставок Solana-разработки

NewsMaker

I'm just a script
Премиум
14,589
22
8 Ноя 2022
Вредоносный код из npm лишает пользователей криптовалюты.


hsqjfzvuvhtmg1xfrx22ield0qg1fmpq.jpg


Специалисты Socket Для просмотра ссылки Войди или Зарегистрируйся о крупной атаке на цепочку поставок популярной библиотеки @solana/web3.js, доступной через npm. Вредоносные версии 1.95.6 и 1.95.7, которые содержали код для кражи приватных ключей, использовались для опустошения криптовалютных кошельков разработчиков и пользователей.

Для просмотра ссылки Войди или Зарегистрируйся — это npm-библиотека для работы с Для просмотра ссылки Войди или Зарегистрируйся платформы Solana , используемая при создании приложений на Node.js и веб-сайтов. Проблемные версии уже удалены из реестра npm, однако их популярность вызывает серьёзные опасения — библиотека еженедельно скачивается более 350 000 раз.

В версию 1.95.7 хакеры Для просмотра ссылки Войди или Зарегистрируйся функцию «addToQueue», которая через поддельные заголовки CloudFlare отправляла приватные ключи на сервер управления («sol-rpc[.]xyz»). Сервер на данный момент недоступен.

Эксперты предполагают, что контроль над аккаунтами разработчиков библиотеки мог быть получен через фишинговую атаку. Хакеры скомпрометировали учётную запись с правами на публикацию, что позволило загрузить вредоносные версии, которые были модифицированы для кражи приватных ключей и вывода средств из приложений, работающих с ключами напрямую.

Атака затронула проекты, обновлённые в период с 15:20 до 20:25 UTC 2 декабря 2024 года, при этом не были затронуты некастодиальные кошельки, так как они не раскрывают приватные ключи во время транзакций. Пользователям рекомендуется срочно обновить библиотеку до версии Для просмотра ссылки Войди или Зарегистрируйся и при необходимости заменить скомпрометированные ключи.

Компания Anza подтвердила компрометацию учетной записи для публикации библиотеки, что позволило хакерам украсть средства. Ущерб оценивается от $130 000 до $160 000. Однако большинство крупных кошельков и приложений, включая Phantom, Coinbase, Exodus, не пострадали, так как не использовали уязвимые версии.

Разработчикам рекомендуется сменить ключи программ, серверов и мультиподписей, если есть подозрения на утечку. Инцидент не затрагивает протокол Solana, а касается исключительно JavaScript-библиотеки, использующей приватные ключи.
 
Источник новости
www.securitylab.ru

Похожие темы