Les chercheurs en cybersécurité alertent sur une attaque de la chaîne d’approvisionnement logicielle ciblant les secteurs populaires @solana/web3.js bibliothèque npm qui impliquait de pousser deux versions malveillantes capables de récolter les clés privées des utilisateurs dans le but de vider leurs portefeuilles de crypto-monnaie.
L’attaque a été détectée dans les versions 1.95.6 et 1.95.7. Ces deux versions ne sont plus disponibles au téléchargement à partir du registre npm. Le package est largement utilisé, attirant plus de 400 000 téléchargements hebdomadaires.
“Ces versions compromises contiennent du code malveillant injecté conçu pour voler les clés privées de développeurs et d’utilisateurs sans méfiance, permettant potentiellement aux attaquants de vider les portefeuilles de crypto-monnaie”, a déclaré Socket. dit dans un rapport.
@solana/web3.js est un package npm qui peut être utilisé pour interagir avec le kit de développement logiciel (SDK) Solana JavaScript pour créer des applications Node.js et Web.
Selon un chercheur en sécurité de Datadog Christophe Tafani Dereeper“la porte dérobée insérée dans la v1.95.7 ajoute une fonction ‘addToQueue’ qui exfiltre la clé privée via des en-têtes CloudFlare apparemment légitimes” et que “les appels à cette fonction sont ensuite insérés à divers endroits qui accèdent (légitimement) à la clé privée.”
Le serveur de commande et de contrôle (C2) vers lequel les clés sont exfiltrées (« sol-rpc[.]xyz”) est actuellement en panne. Il a été enregistré le 22 novembre 2024 sur le registraire de domaine NameSilo.
On soupçonne que les responsables du package npm ont été victimes d’une attaque de phishing qui a permis aux acteurs malveillants de prendre le contrôle des comptes et de publier les versions malveillantes.
“Un compte d’accès à la publication a été compromis pour @solana/web3.js, une bibliothèque JavaScript couramment utilisée par Solana dApps”, Steven Luscher, l’un des responsables de la bibliothèque, dit dans les notes de version de la version 1.95.8.
“Cela a permis à un attaquant de publier des packages non autorisés et malveillants qui ont été modifiés, ce qui lui a permis de voler du matériel de clé privée et de drainer des fonds des dApps, comme les robots, qui gèrent directement les clés privées. Ce problème ne devrait pas affecter les portefeuilles non dépositaires, car ils sont généralement n’exposez pas les clés privées lors des transactions.
Luscher a également noté que l’incident n’affecte que les projets qui gèrent directement les clés privées et qui ont été mis à jour dans la fenêtre de 15h20 UTC et 20h25 UTC le 2 décembre 2024.
Il est conseillé aux utilisateurs qui utilisent @solana/web3.js comme dépendance de mettre à jour vers la dernière version dès que possible et éventuellement de faire pivoter leurs clés d’autorité s’ils soupçonnent qu’elles sont compromises.
La divulgation intervient quelques jours après que Socket a mis en garde contre un faux package npm sur le thème de Solana nommé solana-systemprogram-utils, conçu pour rediriger sournoisement les fonds d’un utilisateur vers une adresse de portefeuille codée en dur contrôlée par un attaquant dans 2 % des transactions.
“Le code masque intelligemment son intention en fonctionnant normalement 98 % du temps”, déclare l’équipe de recherche Socket. dit. “Cette conception minimise les soupçons tout en permettant à l’attaquant de siphonner des fonds.”
Cela fait également suite à la découverte de packages npm tels que crypto-keccak, crypto-jsonwebtoken et crypto-bignumber qui se font passer pour des bibliothèques légitimes mais contiennent du code pour siphonner les informations d’identification et les données du portefeuille de crypto-monnaie, soulignant une fois de plus comment les acteurs malveillants continuent d’abuser de la confiance. les développeurs se placent dans l’écosystème open source.
“Le malware menace les développeurs individuels en volant leurs informations d’identification et les données de leur portefeuille, ce qui peut entraîner des pertes financières directes”, a déclaré le chercheur en sécurité Kirill Boychenko. noté. “Pour les organisations, les systèmes compromis créent des vulnérabilités qui peuvent se propager dans tous les environnements d’entreprise, permettant une exploitation à grande échelle.”