Giới thiệu
Một làn sóng mối đe dọa mạng đáng lo ngại đang bao trùm cộng đồng phát triển Ethereum khi các nhà nghiên cứu công bố một loạt các gói npm độc hại được thiết kế đặc biệt để đánh cắp khóa riêng tư và dữ liệu nhạy cảm. Cuộc tấn công này làm nổi bật những lỗ hổng mà ngay cả những nhà phát triển dày dạn kinh nghiệm cũng phải đối mặt khi họ phụ thuộc vào các trình quản lý gói.
Cuộc tấn công có mục tiêu
Hai mươi gói độc hại đã được xác định, mạo danh môi trường phát triển Hardhat được sử dụng rộng rãi – một công cụ thiết yếu cho các nhà phát triển Ethereum. Được quản lý bởi Quỹ Nomic, Hardhat phục vụ để đơn giản hóa việc tạo, thử nghiệm và triển khai các hợp đồng thông minh và ứng dụng phi tập trung (dApps). Các nhà nghiên cứu báo cáo rằng các gói độc hại này đã thu hút được hơn một nghìn lượt tải xuống, khiến nhiều người lo ngại về tác động tiềm tàng của chúng.
Cách thức của cuộc tấn công
Áp dụng một chiến thuật được gọi là typosquatting, các kẻ tấn công đã tải lên các gói này dưới những tên tương tự như các phụ thuộc hợp pháp của Hardhat. Đã có thông tin rằng ba tài khoản độc hại đứng sau việc tải lên 20 gói đánh cắp thông tin này:
- nomicsfoundations
- @nomisfoundation/hardhat-configure
- installedpackagepublish
- @nomisfoundation/hardhat-config
- @monicfoundation/hardhat-config
- @nomicsfoundation/sdk-test
- @nomicsfoundation/hardhat-config
- @nomicsfoundation/web3-sdk
- @nomicsfoundation/sdk-test1
- @nomicfoundations/hardhat-config
- crypto-nodes-validator
- solana-validator
- node-validators
- hardhat-deploy-others
- hardhat-gas-optimizer
- solidity-comments-extractors
Khi được cài đặt, mã độc sẽ khai thác môi trường Hardhat để thu thập khóa riêng tư và các tệp cấu hình, mã hóa dữ liệu bằng một khóa AES cứng trước khi chuyển giao nó đến các hệ thống do kẻ tấn công kiểm soát.
Hệ quả của việc xâm phạm
Sự đánh cắp khóa riêng tư và cụm từ ghi nhớ có thể dẫn đến những hậu quả nghiêm trọng, bao gồm truy cập trái phép vào ví Ethereum và mất mát tài chính thông qua các giao dịch bất hợp pháp. Hơn nữa, vì nhiều tài khoản bị xâm phạm thuộc về các nhà phát triển, nên có khả năng xảy ra những tác động lớn hơn, bao gồm truy cập trái phép vào các hệ thống sản xuất và triển khai các phiên bản độc hại của các dApps hiện có.
Khuyến nghị cho các nhà phát triển
Trước tình hình này, các nhà phát triển được khuyến khích áp dụng các biện pháp bảo mật chặt chẽ:
- Xác minh tính xác thực của gói và thận trọng với typosquatting.
- Kiểm tra và xem xét mã nguồn trước khi cài đặt.
- Tránh việc mã hóa khóa riêng; thay vào đó, lưu trữ chúng trong các kho bảo mật.
- Sử dụng các tệp khóa và chỉ định các phiên bản cho các phụ thuộc, giảm thiểu sự tiếp xúc.
Điểm mấu chốt
- Hai mươi gói npm độc hại mạo danh Hardhat nhắm tới dữ liệu nhạy cảm của nhà phát triển.
- Hơn một nghìn lượt tải xuống đã được ghi nhận làm nổi bật tầm với của cuộc tấn công.
- Hệ quả của việc bị xâm phạm bao gồm mất mát tài chính và truy cập trái phép vào các môi trường sản xuất.
- Các nhà phát triển phải thực hiện các biện pháp bảo mật nghiêm ngặt để giảm thiểu rủi ro.
