Các gói npm độc hại giả mạo Flashbot, đánh cắp khóa ví Ethereum

[Starlink]

Một bộ bốn gói phần mềm độc hại mới đã được phát hiện trong sổ đăng ký gói npm có khả năng đánh cắp thông tin đăng nhập ví tiền điện tử từ các nhà phát triển Ethereum.

Nhà nghiên cứu Kush Pandya của Socket cho biết trong một bài phân tích: "Các gói này ngụy trang thành các tiện ích mật mã hợp pháp và cơ sở hạ tầng MEV của Flashbots trong khi bí mật đánh cắp khóa riêng tư và hạt giống ghi nhớ cho bot Telegram do kẻ tấn công kiểm soát".

Các gói được tải lên npm bởi một người dùng có tên " flashbotts ", với thư viện được tải lên sớm nhất là vào tháng 9 năm 2023. Lần tải lên gần đây nhất diễn ra vào ngày 19 tháng 8 năm 2025. Các gói được đề cập, tất cả đều vẫn có sẵn để tải xuống tại thời điểm viết bài, được liệt kê bên dưới:

    @flashbotts/ethers-provider-bundle (52 lượt tải xuống)
    flashbot-sdk-eth (467 lượt tải xuống)
    sdk-ethers (90 lượt tải xuống)
    gram-utilz (83 Tải xuống)

Việc mạo danh Flashbot không phải là ngẫu nhiên, xét đến vai trò của nó trong việc chống lại các tác động tiêu cực của Giá trị trích xuất tối đa ( MEV ) trên mạng Ethereum, chẳng hạn như các cuộc tấn công sandwich, thanh lý, chạy ngược, chạy trước và cướp thời gian.

Thư viện nguy hiểm nhất trong số các thư viện đã được xác định là "@flashbotts/ethers-provider-bundle", sử dụng chức năng bảo vệ để che giấu các hoạt động độc hại. Dưới vỏ bọc cung cấp khả năng tương thích hoàn toàn với API Flashbots, gói này tích hợp chức năng ẩn để đánh cắp các biến môi trường qua SMTP bằng Mailtrap.

Ngoài ra, gói npm triển khai chức năng thao tác giao dịch để chuyển hướng tất cả các giao dịch chưa ký đến địa chỉ ví do kẻ tấn công kiểm soát và ghi lại siêu dữ liệu từ các giao dịch đã ký trước.

Theo Socket, sdk-ethers phần lớn là vô hại nhưng bao gồm hai chức năng để truyền các cụm từ hạt giống ghi nhớ đến bot Telegram, chỉ được kích hoạt khi chúng được các nhà phát triển vô tình gọi trong các dự án của riêng họ.

Gói thứ hai đóng giả Flashbot, flashbot-sdk-eth, cũng được thiết kế để kích hoạt hành vi đánh cắp khóa riêng tư, trong khi gram-utilz cung cấp cơ chế mô-đun để đánh cắp dữ liệu tùy ý vào cuộc trò chuyện Telegram của kẻ tấn công.

Với cụm từ hạt giống ghi nhớ đóng vai trò là "chìa khóa chính" để khôi phục quyền truy cập vào ví tiền điện tử, việc đánh cắp các chuỗi từ này có thể cho phép kẻ tấn công đột nhập vào ví của nạn nhân và giành quyền kiểm soát hoàn toàn ví của họ.

Sự hiện diện của các bình luận bằng tiếng Việt trong mã nguồn cho thấy kẻ tấn công có động cơ tài chính có thể là người nói tiếng Việt.

Những phát hiện này cho thấy những kẻ tấn công có chủ đích lợi dụng lòng tin liên quan đến nền tảng để thực hiện các cuộc tấn công chuỗi cung ứng phần mềm, chưa kể đến việc che giấu chức năng độc hại trong phần lớn mã vô hại để tránh bị giám sát.

"Vì Flashbots được các nhà xác thực, người tìm kiếm và nhà phát triển DeFi tin tưởng rộng rãi, nên bất kỳ gói nào có vẻ là SDK chính thức đều có khả năng cao được các nhà điều hành chạy bot giao dịch hoặc quản lý ví nóng áp dụng", Pandya chỉ ra. "Một khóa riêng bị xâm phạm trong môi trường này có thể dẫn đến việc đánh cắp tiền ngay lập tức và không thể đảo ngược."

"Bằng cách lợi dụng lòng tin của nhà phát triển vào tên gói quen thuộc và chèn mã độc hại vào các tiện ích hợp pháp, các gói này biến hoạt động phát triển Web3 thông thường thành đường dẫn trực tiếp đến các bot Telegram do tác nhân đe dọa kiểm soát."