摘要:多个伪装成合法库的恶意npm包被发现,针对以太坊与Solana开发者实施私钥窃取,通过硬编码Telegram端点实现隐蔽通信。
恶意npm包潜伏生态:加密开发者面临新型供应链攻击
近期,五个专为以太坊与Solana开发者设计的恶意npm软件包浮出水面,其核心目标是窃取私钥并实时发送至攻击者控制的服务器。这些包采用‘typosquatting’(拼写劫持)策略,以高度相似的名称模仿真实加密库,诱导开发者误装。
攻击链路全解析:从伪装到数据外泄
安全团队追踪发现,这五个恶意包均由同一账户发布,覆盖两大主流区块链生态,并配备持续活跃的命令与控制基础设施。其中一个包在上线仅五分钟内即被撤回,但其已具备在不触发警报的情况下完成密钥外传的能力。
攻击机制揭秘:函数劫持与隐蔽传输
攻击手段聚焦于开发者常用的核心函数。当特定函数被调用时,恶意包会在返回正常结果前,将私钥内容经由硬编码的Telegram机器人通道发送出去。由于整个过程无明显异常行为,极易逃过常规审查。
其中四款针对Solana开发者的包,会拦截Base58解码函数的执行;而另一款则专门针对以太坊钱包构造函数进行定向攻击。
技术特征与传播路径
所有恶意包均依赖Node.js 18及以上版本中的全局访问特性,在旧版本环境中请求将静默失败,从而规避检测。它们统一将窃取数据发送至同一Telegram接收端点,且机器人令牌与聊天ID均以明文形式嵌入代码中,无需外部服务器即可维持通信。
具体实现方式多样:部分包直接修改解码函数并在返回前注入数据;有的使用代码混淆隐藏恶意逻辑;更有甚者本身不携带恶意代码,而是通过依赖链间接传递攻击载荷。针对以太坊的包则在编译后的二进制文件中插入单行恶意代码,该现象明确指向人为篡改行为。
应对建议与行业警示
目前,相关研究机构已向npm平台提交下架申请。专家强调,一旦私钥泄露,相关资产存在极高被盗风险,建议立即迁移至新生成的钱包。
开发者应提高警惕,安装依赖时务必核对包名拼写,优先选用官方认证或社区广泛验证的库。此次事件再次凸显黑客正将加密开发者作为高价值攻击目标——此前已有伪造安装程序感染大量开发环境的案例,攻击者不断演化手法,企图获取助记词、私钥等关键敏感信息。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。