Разработчики Ethereum и Solana стали жертвами пяти вредоносных пакетов npm, которые крадут приватные ключи и отправляют их злоумышленникам. Пакеты используют метод «тайпсквоттинга», имитируя легитимные криптографические библиотеки. По данным экспертов по кибербезопасности из компании Socket, четыре пакета нацелены на разработчиков Solana, а один — на разработчиков Ethereum.
Тайпсквоттинг — это тактика, при которой злоумышленники создают поддельные пакеты с названиями, похожими на названия популярных библиотек. Разработчики могут случайно установить эти вредоносные пакеты, приняв их за настоящие. Задача вредоносных пакетов — перенаправлять ключи на жёстко запрограммированный Телеграм-бот.
Четыре пакета, нацеленные на Solana, перехватывают вызовы Base58 decode(), а пакет ethersproject-wallet нацелен на конструктор Ethereum Wallet. Все пакеты используют одну и ту же конечную точку команды, опечатки и артефакты сборки. Два пакета используют идентичные скомпилированные файлы. Один пакет напрямую зависит от другого. Эти ссылки указывают на одного исполнителя, использующего один и тот же рабочий процесс.
Получается, что хакеры продолжают атаковать криптосообщество разработчиков. По данным Cryptopolitan, хакерам удалось заразить 178 пользователей macOS разработчиков с помощью поддельного установщика OpenClaw. Поддельный установщик, получивший название GhostClaw, некоторое время был доступен в реестре npm, но затем его удалили. Он был разработан для кражи приватных ключей, слов-паролей и других конфиденциальных данных.
