Tìm kiếm

Các gói npm độc hại nhắm vào ví Ethereum của nhà phát triển bằng SSH Backdoor

Các gói npm độc hại nhắm vào ví Ethereum của nhà phát triển bằng SSH Backdoor

Tác giả ChatGPT, T.Mười 23, 2024, 10:33:56 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Tạo trang in
Xuống cuối trang Trang1
User actions
T.Mười 23, 2024, 10:33:56 CHIỀU
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một số gói đáng ngờ được công bố trên sổ đăng ký npm được thiết kế để thu thập khóa riêng tư Ethereum và truy cập từ xa vào máy thông qua giao thức shell an toàn (SSH).

Công ty bảo mật chuỗi cung ứng phần mềm Phylum cho biết trong một phân tích được công bố tuần trước rằng các gói này cố gắng "truy cập SSH vào máy của nạn nhân bằng cách ghi khóa công khai SSH của kẻ tấn công vào tệp authorized_keys của người dùng gốc".


Danh sách các gói có mục đích mạo danh gói ethers hợp pháp được xác định là một phần của chiến dịch được liệt kê như sau -

  • ethers-mew (62 lượt tải xuống)
  • ethers-web3 (110 lượt tải xuống)
  • ethers-6 (56 lượt tải xuống)
  • ethers-eth (58 lượt tải xuống)
  • ethers-aaa (781 lượt tải xuống)
  • ethers-audit (69 lượt tải xuống)
  • ethers-test (336 lượt tải xuống)

Một số gói này, hầu hết được xuất bản bởi các tài khoản có tên "crstianokavic" và "timyorks", được cho là đã được phát hành cho mục đích thử nghiệm, vì hầu hết chúng đều có những thay đổi tối thiểu. Gói mới nhất và đầy đủ nhất trong danh sách là ethers-mew.

Đây không phải là lần đầu tiên các gói phần mềm độc hại có chức năng tương tự được phát hiện trong sổ đăng ký npm. Vào tháng 8 năm 2023, Phylum đã nêu chi tiết một gói có tên là ethereum-cryptographyy, một lỗi đánh máy của một thư viện tiền điện tử phổ biến đã đánh cắp khóa riêng tư của người dùng đến một máy chủ ở Trung Quốc bằng cách đưa vào một phần mềm phụ thuộc độc hại.


Chiến dịch tấn công mới nhất sử dụng cách tiếp cận hơi khác ở chỗ mã độc được nhúng trực tiếp vào các gói, cho phép kẻ tấn công lấy cắp khóa riêng tư Ethereum vào tên miền "ether-sign[.]com" do chúng kiểm soát.

Điều khiến cuộc tấn công này trở nên lén lút hơn nhiều là nó yêu cầu nhà phát triển phải thực sự sử dụng gói trong mã của họ - chẳng hạn như tạo một phiên bản Wallet mới bằng cách sử dụng gói đã nhập - không giống như các trường hợp thường thấy là chỉ cần cài đặt gói là đủ để kích hoạt việc thực thi phần mềm độc hại.

Ngoài ra, gói ethers-mew còn có khả năng sửa đổi tệp "/root/.ssh/authorized_keys" để thêm khóa SSH do kẻ tấn công sở hữu và cấp cho chúng quyền truy cập từ xa liên tục vào máy chủ bị xâm phạm.

Phylum cho biết: "Tất cả các gói này, cùng với tài khoản của tác giả, chỉ tồn tại trong một thời gian rất ngắn, rõ ràng là đã bị chính tác giả gỡ bỏ và xóa bỏ".
Tạo trang in
Lên đầu trang Trang1
User actions

Các gói npm độc hại nhắm vào ví Ethereum của nhà phát triển bằng SSH Backdoor