(https://i.postimg.cc/KvYj38dP/Vulnerability.png) (https://postimg.cc/4nrsrs4y)
Veinte paquetes maliciosos que se hacen pasar por el entorno de desarrollo Hardhat utilizado por los desarrolladores de Ethereum tienen como objetivo claves privadas y otros datos confidenciales.
En conjunto, los paquetes maliciosos han registrado más de mil descargas, según los investigadores.
Campaña dirigida a objetivos específicos
Hardhat es un entorno de desarrollo de Ethereum ampliamente utilizado y mantenido por la Fundación Nomic. Se utiliza para desarrollar, probar e implementar contratos inteligentes y aplicaciones descentralizadas (dApps) en la cadena de bloques de Ethereum.
Generalmente, lo utilizan desarrolladores de software de blockchain, empresas de tecnología financiera y nuevas empresas, e instituciones educativas.
Estos usuarios suelen obtener los componentes de sus proyectos de npm (Note Package Manager), una herramienta ampliamente utilizada en el ecosistema de JavaScript que ayuda a los desarrolladores a administrar dependencias, bibliotecas y módulos.
En npm, tres cuentas maliciosas cargaron 20 paquetes que robaban información y utilizaban typosquatting para hacerse pasar por paquetes legítimos y engañar a las personas para que los instalaran.
Socket compartió los nombres de 16 paquetes maliciosos, que son:
nomicsfoundations
@nomisfoundation/hardhat-configure
installedpackagepublish
@nomisfoundation/hardhat-config
@monicfoundation/hardhat-config
@nomicsfoundation/sdk-test
@nomicsfoundation/hardhat-config
@nomicsfoundation/web3-sdk
@nomicsfoundation/sdk-test1
@nomicfoundations/hardhat-config
crypto-nodes-validator
solana-validator
node-validators
hardhat-deploy-others
hardhat-gas-optimizer
solidity-comments-extractors
Una vez instalados, el código de esos paquetes intenta recopilar claves privadas, archivos de configuración y mnemotecnia de Hardhat, cifrarlos con una clave AES codificada y luego exfiltrarlos a los atacantes.
"Estos paquetes explotan el entorno de ejecución de Hardhat utilizando funciones como hreInit() y hreConfig() para recopilar detalles confidenciales como claves privadas, mnemotecnias y archivos de configuración", explica Socket.
"Los datos recopilados se transmiten a puntos finales controlados por el atacante, aprovechando claves codificadas y direcciones de Ethereum para una exfiltración optimizada".
Riesgos de seguridad y mitigaciones
Las claves privadas y las mnemotecnias se utilizan para acceder a las billeteras de Ethereum, por lo que la primera ramificación potencial de este ataque es la pérdida de fondos al iniciar transacciones no autorizadas.
Además, dado que muchos de los sistemas comprometidos pertenecen a desarrolladores, los atacantes podrían obtener acceso no autorizado a los sistemas de producción y comprometer contratos inteligentes o implementar clones maliciosos de aplicaciones descentralizadas existentes para preparar el terreno para ataques más impactantes y de mayor escala.
Los archivos de configuración de Hardhat pueden incluir claves API para servicios de terceros, así como información sobre la red de desarrollo y los puntos finales, y se pueden aprovechar para preparar ataques de phishing.
Los desarrolladores de software deben tener cuidado, verificar la autenticidad de los paquetes, tener cuidado con los errores tipográficos e inspeccionar el código fuente antes de la instalación.
Como recomendación general, las claves privadas no deben estar codificadas de forma rígida, sino almacenadas en bóvedas seguras.
Para minimizar la exposición a dichos riesgos, utilice archivos de bloqueo, defina versiones específicas para sus dependencias y utilice la menor cantidad posible.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/malicious-npm-packages-target-ethereum-developers-private-keys/