Onderzoekers ontdekken Backdoor in Solana’s populaire Web3.js npm-bibliotheek

Cybersecurity-onderzoekers waarschuwen voor een aanval op de software-toeleveringsketen gericht op de populaire @solana/web3.js npm-bibliotheek, waarbij twee kwaadaardige versies werden gepusht die in staat waren de privésleutels van gebruikers te verzamelen met als doel hun cryptocurrency-portemonnee leeg te maken.

De aanval is gedetecteerd in versies 1.95.6 en 1.95.7. Beide versies kunnen niet langer worden gedownload via het npm-register. Het pakket wordt veel gebruikt en trekt wekelijks meer dan 400.000 downloads.

“Deze gecompromitteerde versies bevatten geïnjecteerde kwaadaardige code die is ontworpen om privésleutels te stelen van nietsvermoedende ontwikkelaars en gebruikers, waardoor aanvallers mogelijk cryptocurrency-portefeuilles kunnen leegmaken”, aldus Socket in een rapport.

@solana/web3.js is een npm-pakket dat kan worden gebruikt voor interactie met de Solana JavaScript software development kit (SDK) voor het bouwen van Node.js en webapps.

Volgens Datadog-beveiligingsonderzoeker Christophe Tafani-Dereeper “voegt de achterdeur die in v1.95.7 is ingevoegd een ‘addToQueue’-functie toe die de privésleutel exfiltreert via schijnbaar legitieme CloudFlare-headers” en dat “aanroepen naar deze functie vervolgens op verschillende plaatsen worden ingevoegd die (legitiem) toegang krijgen tot de privésleutel.”

De command-and-control (C2)-server waarnaar de sleutels worden geëxfiltreerd (“sol-rpc(.)xyz”) is momenteel niet beschikbaar. Het werd op 22 november 2024 geregistreerd bij domeinregistreerder NameSilo.

Er wordt vermoed dat de beheerders van het npm-pakket het slachtoffer zijn geworden van een phishing-aanval waardoor de bedreigingsactoren de controle over de accounts konden overnemen en de frauduleuze versies konden publiceren.

“Een account met publicatietoegang is gecompromitteerd voor @solana/web3.js, een JavaScript-bibliotheek die veel wordt gebruikt door Solana dApps”, zegt Steven Luscher, een van de bibliotheekbeheerders, in de release-opmerkingen voor versie 1.95.8.

“Hierdoor kon een aanvaller ongeautoriseerde en kwaadaardige pakketten publiceren die waren aangepast, waardoor ze privé-sleutelmateriaal konden stelen en geld konden aftappen van dApps, zoals bots, die privésleutels rechtstreeks verwerken. Dit probleem zou geen gevolgen moeten hebben voor niet-bewaarbare portemonnees, aangezien deze over het algemeen stel geen privésleutels bloot tijdens transacties.”

Luscher merkte ook op dat het incident alleen gevolgen heeft voor projecten die rechtstreeks omgaan met privésleutels en die zijn bijgewerkt binnen de periode van 15:20 uur UTC en 20:25 uur UTC op 2 december 2024.

Gebruikers die afhankelijk zijn van @solana/web3.js, worden geadviseerd zo snel mogelijk bij te werken naar de nieuwste versie en optioneel hun autorisatiesleutels te rouleren als ze vermoeden dat deze zijn aangetast.

De onthulling komt dagen nadat Socket waarschuwde voor een nep-npm-pakket met Solana-thema genaamd solana-systemprogram-utils dat is ontworpen om in 2% van de transacties het geld van een gebruiker stiekem om te leiden naar een door de aanvaller gecontroleerd, hardgecodeerd portemonnee-adres.

“De code maskeert op slimme wijze zijn bedoelingen door 98% van de tijd normaal te functioneren”, aldus het Socket Research Team. “Dit ontwerp minimaliseert argwaan, terwijl de aanvaller nog steeds geld kan overhevelen.”

Het volgt ook op de ontdekking van npm-pakketten zoals crypto-keccak, crypto-jsonwebtoken en crypto-bignumber die zich voordoen als legitieme bibliotheken, maar code bevatten om inloggegevens en cryptocurrency-portemonneegegevens over te hevelen, wat opnieuw benadrukt hoe bedreigingsactoren misbruik blijven maken van het vertrouwen. ontwikkelaars plaatsen zich in het open-source ecosysteem.

“De malware bedreigt individuele ontwikkelaars door hun inloggegevens en portemonneegegevens te stelen, wat tot directe financiële verliezen kan leiden”, merkte beveiligingsonderzoeker Kirill Boychenko op. “Voor organisaties creëren gecompromitteerde systemen kwetsbaarheden die zich door bedrijfsomgevingen kunnen verspreiden, waardoor grootschalige exploitatie mogelijk wordt.”

Thijs Van der Does