Giới thiệu
Trong một tiết lộ gây sốc, các nhà nghiên cứu an ninh mạng đã phát hiện ra các gói độc hại trên npm và PyPI nhắm đến người dùng Solana, khai thác các lỗ hổng để ăn cắp khóa riêng và rút tiền từ ví kỹ thuật số. Mối đe dọa ngày càng gia tăng này đòi hỏi sự cảnh giác cao hơn trong bối cảnh không ngừng biến đổi của an ninh trực tuyến.
Khai thác sự phổ biến của Solana
Các nhà nghiên cứu từ Socket đã xác định được nhiều gói độc hại giả mạo các thư viện phổ biến trong các kho npm và Python Package Index (PyPI). Những gói này, ngụy trang dưới dạng công cụ cho giao dịch tiền điện tử Solana, được thiết kế để lén lút lấy cắp khóa riêng thông qua các dịch vụ email như Gmail. Bằng cách sử dụng chiến lược typosquatting đối với các thư viện nổi tiếng như @async-mutex/mutex và dexscreener, các tác nhân đe dọa đã thực hiện phương pháp có hệ thống để xâm phạm ví của người dùng.
Các chi tiết kỹ thuật của vụ tấn công
Các gói ác ý, chủ yếu được xác định là solana-transaction-toolkit và solana-stable-web-huks, không chỉ đánh cắp thông tin nhạy cảm mà còn siphon tiền từ các ví đã bị xâm phạm, chuyển tới 98% tài sản đến các địa chỉ do kẻ tấn công kiểm soát. Tactics này cho phép tội phạm mạng giữ một hồ sơ thấp bằng cách để lại một tỷ lệ nhỏ của số dư gốc không bị chạm để tránh gây nghi ngờ từ người dùng. Đáng chú ý, những giao dịch này được thực hiện mà không gây ra báo động, vì chúng khai thác các máy chủ SMTP của Gmail để tạo điều kiện cho việc lấy cắp lén lút các khóa riêng.
Thời gian tồn tại của các mối đe dọa và kêu gọi hành động
Mặc dù đã có các cảnh báo từ các chuyên gia yêu cầu loại bỏ các gói này, nhiều gói vẫn hoạt động trong npm. Ngoài ra, Socket đã phát hiện ra các kho GitHub giả mạo như là tài nguyên Solana chính thức, làm tăng thêm tiềm năng gây thiệt hại rộng lớn. Các nhà phát triển và người dùng trong hệ sinh thái Solana phải đối mặt với những rủi ro đáng kể khi những công cụ độc hại này ngày càng phát triển, nhấn mạnh sự cần thiết của các biện pháp an ninh nghiêm ngặt.
Các biện pháp bảo vệ và thực tiễn tốt nhất
Để chống lại những mối đe dọa như vậy, các chuyên gia an ninh mạng khuyến nghị một loạt các bước bảo vệ, bao gồm việc xác minh nghiêm ngặt tính hợp pháp của các gói, theo dõi số lượng tải xuống và sự chú ý về lịch sử nhà xuất bản. Các cuộc kiểm tra định kỳ các phụ thuộc mã là rất cần thiết để ngăn chặn việc đưa vào những gói có thể gây hại. Hơn nữa, duy trì các biện pháp kiểm soát truy cập nghiêm ngặt xung quanh các khóa riêng và sử dụng các môi trường tách biệt cho việc kiểm tra các kịch bản là những chiến lược quan trọng để bảo vệ thông tin nhạy cảm.
Điểm chính
- Các gói npm và PyPI độc hại nhắm vào ví Solana, đánh cắp khóa riêng và rút tiền.
- Các tác nhân đe dọa vận dụng các chiến thuật thông minh, như typosquatting và lấy cắp qua Gmail, để không bị phát hiện.
- Sự cảnh giác liên tục là cần thiết; các gói hoạt động vẫn tồn tại mặc dù đã có cảnh báo từ chuyên gia.
- Việc thực hiện các thực tiễn bảo mật tốt nhất có thể giảm thiểu rủi ro liên quan đến các lỗ hổng của gói.
