Pesquisadores de cibersegurança estão alertando para um ataque à cadeia de suprimentos de software que visa a biblioteca npm @solana/web3.js, popular entre desenvolvedores.
Este ataque envolveu a publicação de duas versões maliciosas capazes de capturar as chaves privadas dos usuários com o objetivo de drenar suas carteiras de criptomoedas.
O ataque foi detectado nas versões 1.95.6 e 1.95.7.
Ambas as versões já foram removidas do registro do npm.
A biblioteca é amplamente utilizada, com mais de 400.000 downloads semanais.
"Estas versões comprometidas contêm código malicioso injetado projetado para roubar chaves privadas de desenvolvedores e usuários desavisados, potencialmente permitindo aos atacantes drenar carteiras de criptomoedas", disse a Socket em um relatório.
@solana/web3.js é um pacote npm usado para interagir com o kit de desenvolvimento de software (SDK) do Solana para construir aplicativos Node.js e para a web.
De acordo com o pesquisador de segurança da Datadog, Christophe Tafani-Dereeper, "a backdoor inserida na v1.95.7 adiciona uma função 'addToQueue' que exfiltra a chave privada através de cabeçalhos do CloudFlare aparentemente legítimos" e que "chamadas para essa função são inseridas em vários lugares que acessam a chave privada (legitimamente)".
O servidor de comando e controle (C2) para onde as chaves são exfiltradas ("sol-rpc[.]xyz") está atualmente fora do ar.
Foi registrado em 22 de novembro de 2024, no registrador de domínios NameSilo.
Suspeita-se que os mantenedores do pacote npm tenham sido vítimas de um ataque de phishing que permitiu aos atores de ameaças assumir o controle das contas e publicar as versões fraudulentas.
"Uma conta com acesso de publicação foi comprometida para @solana/web3.js, uma biblioteca JavaScript que é comumente usada por dApps do Solana", disse Steven Luscher, um dos mantenedores da biblioteca, nas notas de lançamento da versão 1.95.8.
"Isto permitiu a um atacante publicar pacotes não autorizados e maliciosos que foram modificados, permitindo-lhes roubar material de chave privada e drenar fundos de dApps, como bots, que lidam diretamente com chaves privadas.
Este problema não deve afetar carteiras não custodiais, pois geralmente não expõem chaves privadas durante as transações."
Luscher também observou que o incidente afeta apenas projetos que lidam diretamente com chaves privadas e que foram atualizados dentro da janela de 15:20 UTC a 20:25 UTC em 2 de dezembro de 2024.
Usuários que dependem de @solana/web3.js como uma dependência são aconselhados a atualizar para a versão mais recente o mais rápido possível e, opcionalmente, trocar suas chaves de autoridade se suspeitarem que foram comprometidas.
A divulgação vem dias após a Socket alertar sobre um pacote npm falso com tema Solana chamado solana-systemprogram-utils, projetado para desviar secretamente os fundos do usuário para um endereço de carteira controlado pelo atacante em 2% das transações.
"O código mascara inteligentemente sua intenção funcionando normalmente 98% do tempo", disse a Equipe de Pesquisa da Socket.
"Este design minimiza a suspeita enquanto ainda permite ao atacante desviar fundos."
Isso também segue a descoberta de pacotes npm como crypto-keccak, crypto-jsonwebtoken e crypto-bignumber que se passam por bibliotecas legítimas, mas contêm código para roubar credenciais e dados de carteiras de criptomoedas, destacando mais uma vez como os atores de ameaças continuam abusando da confiança que os desenvolvedores depositam no ecossistema de código aberto.
"O malware ameaça desenvolvedores individuais roubando suas credenciais e dados da carteira, o que pode levar a perdas financeiras diretas", observou o pesquisador de segurança Kirill Boychenko.
"Para organizações, sistemas comprometidos criam vulnerabilidades que podem se espalhar por ambientes empresariais, permitindo a exploração em larga escala."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...