Een nieuwe set van vier kwaadaardige pakketten is ontdekt in het NPM -pakketregister met mogelijkheden om cryptocurrency -portemonnee -referenties van Ethereum -ontwikkelaars te stelen.
“De pakketten bevatten zich als legitieme cryptografische hulpprogramma’s en flashbots MEV -infrastructuur, terwijl ze in het geheim privésleutels en mnemonische zaden worden geëxciltreerd aan een telegram -bot die wordt bestuurd door de dreigingsacteur,” zei socketonderzoeker Kush Pandya in een analyse.
De pakketten werden geüpload naar NPM door een gebruiker genaamd “Flashbotts”, waarbij de vroegste bibliotheek al in september 2023 werd geüpload.
De nabootsing van flashbots is niet toevallig, gezien zijn rol bij de bestrijding van de nadelige effecten van maximale extraheerbare waarde (MEV) op het Ethereum-netwerk, zoals sandwich, liquidatie, backrunning, front-running en time-bandit aanvallen.
De gevaarlijkste van de geïdentificeerde bibliotheken is “@flashbotts/ethers-provider-bundel”, die zijn functionele dekking gebruikt om de kwaadaardige bewerkingen te verbergen. Onder het mom van het aanbieden van volledige flashbots API -compatibiliteit, bevat het pakket stealthy -functionaliteit om omgevingsvariabelen over SMTP te exfiltreren met behulp van Mailtrap.
Bovendien implementeert het NPM-pakket een transactiemanipulatiefunctie om alle niet-ondertekende transacties om te leiden naar een aanvaller-gecontroleerd portemonnee-adres en logmetadata van vooraf ondertekende transacties.
SDK-Ethers, per socket, is meestal goedaardig, maar bevat twee functies om mnemonische zaadzinnen over te dragen naar een telegrambot die alleen worden geactiveerd wanneer ze worden opgeroepen door onwetende ontwikkelaars in hun eigen projecten.
Het tweede pakket dat zich voordoet aan flashbots, FlashBot-SDK-Eth, is ook ontworpen om de diefstal van privésleutels te activeren, terwijl Gram-Utilz een modulair mechanisme biedt voor het exfiltrerende willekeurige gegevens naar de telegramchat van de dreigingsacteur.
Met mnemonische zaadzinnen die dienen als de “hoofdsleutel” om de toegang tot cryptocurrency -portefeuilles te herstellen, kan diefstal van deze reeksen woorden dreigingsacteurs in staat stellen in te breken in de portefeuilles van slachtoffers en volledige controle over hun portemonnee te krijgen.
De aanwezigheid van Vietnamese talencommentaar in de broncode suggereren dat de financieel gemotiveerde dreigingsacteur Vietnamese sprekend kan zijn.
De bevindingen duiden op een opzettelijke inspanning op een deel van de aanvallers om het vertrouwen dat verband houdt met het platform te bewapenen om software -supply chain -aanvallen uit te voeren, om nog maar te zwijgen over het obscure van de kwaadaardige functionaliteit te midden van meestal onschadelijke code om het onderzoek te omzeilen.
“Omdat flashbots veel worden vertrouwd door validators, zoekers en defi -ontwikkelaars, heeft elk pakket dat een officiële SDK lijkt te zijn een grote kans om te worden aangenomen door operators die handelsbots runnen of hete portefeuilles beheren,” merkte Pandya op. “Een gecompromitteerde privésleutel in deze omgeving kan leiden tot onmiddellijke, onomkeerbare diefstal van fondsen.”
“Door het vertrouwen van ontwikkelaars in bekende pakketnamen te exploiteren en kwaadaardige code met legitieme hulpprogramma’s te vullen, veranderen deze pakketten routinematige Web3-ontwikkeling in een directe pijplijn om door acteurs gereguleerde telegrambots te bedreigen.”
