Οι ερευνητές κυβερνοασφάλειας έχουν εντοπίσει τρία σετ κακόβουλων πακέτων στο αποθετήριο npm και Python Package Index (PyPI) που διαθέτουν δυνατότητες κλοπής δεδομένων Solana και διαγραφής ευαίσθητων δεδομένων από μολυσμένα συστήματα.
Δείτε επίσης: Οι χάκερ χρησιμοποιούν το FastHTTP σε νέες επιθέσεις Microsoft 365

Η εταιρεία ασφάλειας εφοδιαστικής αλυσίδας Socket, που ανακάλυψε τα πακέτα, είπε ότι τα τέσσερα πρώτα έχουν σχεδιαστεί για να παρεμποδίζουν τα ιδιωτικά κλειδιά Solana και να τα μεταδίδουν μέσω των διακομιστών Simple Mail Transfer Protocol (SMTP) του Gmail με πιθανό στόχο την εξάντληση των πορτοφολιών των θυμάτων.
Ειδικότερα, τα πακέτα solana-transaction-toolkit και solana-stable-web-huks εξαντλούν μέσω προγραμματισμού το πορτοφόλι, μεταφέροντας αυτόματα έως και το 98% του περιεχομένου του σε μια διεύθυνση Solana που ελέγχεται από τους εισβολείς, ενώ ισχυρίζονται ότι προσφέρουν λειτουργικότητα ειδικά για τη Solana.
Η Socket είπε ότι βρήκε επίσης δύο αποθετήρια GitHub που δημοσιεύθηκαν από τους παράγοντες απειλών πίσω από το solana-transaction-toolkit και το solana-stable-web-huks που υποτίθεται ότι περιέχουν εργαλεία ανάπτυξης Solana ή σενάρια για την αυτοματοποίηση κοινών ροών εργασίας DeFi, αλλά, στην πραγματικότητα, εισάγουν κακόβουλα πακέτα npm.
Δείτε ακόμα: Χάκερ εκμεταλλεύονται το YouTube για να διανέμουν malware
Οι λογαριασμοί GitHub που σχετίζονται με αυτά τα αποθετήρια, “moonshot-wif-hwan” και “Diveinprogramming“, δεν είναι πλέον προσβάσιμοι.

Η χρήση κακόβουλων αποθετηρίων GitHub δείχνει τις προσπάθειες των εισβολέων να οργανώσουν μια ευρύτερη καμπάνια πέρα από το npm στοχεύοντας προγραμματιστές που ενδέχεται να αναζητούν εργαλεία που σχετίζονται με το Solana στην πλατφόρμα φιλοξενίας κώδικα που ανήκει στη Microsoft.
Βρέθηκε ότι το δεύτερο σύνολο πακέτων npm ανεβάζει τη κακόβουλη λειτουργικότητά τους στο επόμενο επίπεδο ενσωματώνοντας μια λειτουργία “kill switch” που σκουπίζει αναδρομικά όλα τα αρχεία σε καταλόγους συγκεκριμένου έργου, πέρα από την εξαγωγή μεταβλητών περιβάλλοντος σε έναν απομακρυσμένο διακομιστή σε ορισμένες περιπτώσεις.
Το πλαστό πακέτο csbchalk-next λειτουργεί πανομοιότυπα με τις τυπογραφικές εκδόσεις του chokidar, με τη μόνη διαφορά ότι ξεκινά τη λειτουργία διαγραφής δεδομένων μόνο αφού λάβει τον κωδικό “202” από τον διακομιστή.
Το Pycord-self, από την άλλη πλευρά, ξεχωρίζει τους προγραμματιστές της Python που θέλουν να ενσωματώσουν τα Discord API στα έργα τους, συλλαμβάνοντας διακριτικά ελέγχου ταυτότητας Discord και συνδέοντας έναν διακομιστή ελεγχόμενο από εισβολείς για μόνιμη πρόσβαση σε backdoor μετά την εγκατάσταση σε συστήματα Windows και Linux.
Δείτε επίσης: Χάκερ εκμεταλλεύονται ελάττωμα του KerioControl για κλοπή διακριτικών
Τα κακόβουλα πακέτα npm, όπως αυτά που επηρεάζουν τα Solana Wallet Keys, αποτελούν σημαντική απειλή για το οικοσύστημα ανάπτυξης λογισμικού. Αυτά τα πακέτα συχνά μεταμφιέζονται ως νόμιμα εργαλεία, δελεάζοντας τους προγραμματιστές να τα συμπεριλάβουν στα έργα τους. Μόλις εγκατασταθούν, μπορούν να εκτελέσουν επιβλαβείς ενέργειες, όπως κλοπή ευαίσθητων δεδομένων, εισαγωγή κακόβουλου κώδικα ή παραβίαση συστημάτων. Οι εισβολείς χρησιμοποιούν συνήθως τεχνικές όπως το typosquatting ή το dependency hacking για να ξεγελάσουν τους χρήστες να κατεβάσουν αυτά τα πακέτα. Η διατήρηση της επαγρύπνησης, ο τακτικός έλεγχος των εξαρτήσεων και η χρήση εργαλείων ασφαλείας για τον εντοπισμό τρωτών σημείων είναι βασικές πρακτικές για την προστασία από τέτοιες απειλές.
Πηγή: thehackernews