近日，研究人員發(fā)現(xiàn)，有大量的惡意npm軟件包，它們冒充以太坊開(kāi)發(fā)者使用的Hardhat開(kāi)發(fā)環(huán)境，正在竊取私鑰和其他敏感數(shù)據(jù)。研究人員稱，這些惡意軟件包總共被下載了一千多次。

針對(duì)性攻擊活動(dòng) Hardhat是由Nomic Foundation維護(hù)的、廣泛用于以太坊開(kāi)發(fā)的工具，它可用于在以太坊區(qū)塊鏈上開(kāi)發(fā)、測(cè)試和部署智能合約以及去中心化應(yīng)用程序（dApps）。通常，區(qū)塊鏈軟件開(kāi)發(fā)者、金融科技公司、初創(chuàng)企業(yè)和教育機(jī)構(gòu)會(huì)使用它。

這些用戶往往會(huì)通過(guò)npm（Node Package Manager，JavaScript生態(tài)系統(tǒng)里廣泛使用的工具，用于管理依賴項(xiàng)、庫(kù)和模塊）獲取項(xiàng)目組件。

在npm平臺(tái)上，三個(gè)惡意賬戶上傳了20個(gè)信息竊取包。這些包采用“拼寫錯(cuò)誤偽裝”（typosquatting）手段冒充合法包，引誘用戶安裝。Socket列出了16個(gè)惡意包的名稱，包括：

• nomicsfoundations
• @nomisfoundation/hardhat - configure
• installedpackagepublish
• @nomisfoundation/hardhat - config
• @monicfoundation/hardhat - config
• @nomicsfoundation/sdk - test
• @nomicsfoundation/hardhat - config
• @nomicsfoundation/web3 - sdk
• @nomicsfoundation/sdk - test1
• @nomicfoundations/hardhat - config
• crypto - nodes - validator
• solana - validator
• node - validators
• hardhat - deploy - others
• hardhat - gas - optimizer
• solidity - comments - extractors

一旦安裝這些包，其中的代碼就會(huì)嘗試收集Hardhat的私鑰、配置文件以及助記詞，然后用硬編碼的AES密鑰進(jìn)行加密，再傳輸給攻擊者。

Socket解釋說(shuō)：“這些包借助Hardhat運(yùn)行時(shí)環(huán)境，通過(guò) hreInit() 和 hreConfig() 等函數(shù)收集私鑰、助記詞和配置文件等敏感信息，然后利用硬編碼的密鑰和以太坊地址將這些數(shù)據(jù)高效地泄露出去。”

安全風(fēng)險(xiǎn)與緩解措施 私鑰和助記詞用于訪問(wèn)以太坊錢包，所以此次攻擊首先可能導(dǎo)致的后果是發(fā)起未經(jīng)授權(quán)的交易從而使資金遭受損失。而且，由于許多受感染的系統(tǒng)屬于開(kāi)發(fā)者，攻擊者可能會(huì)未經(jīng)授權(quán)訪問(wèn)生產(chǎn)系統(tǒng)，破壞智能合約或者部署現(xiàn)有dApp的惡意克隆，為大規(guī)模攻擊做準(zhǔn)備。

Hardhat配置文件可能包含第三方服務(wù)的API密鑰以及開(kāi)發(fā)網(wǎng)絡(luò)和端點(diǎn)的信息，這些信息可能被用于開(kāi)展釣魚攻擊。

軟件開(kāi)發(fā)者要謹(jǐn)慎行事，在安裝前驗(yàn)證軟件包的真實(shí)性，警惕拼寫錯(cuò)誤偽裝并查看源代碼。一般來(lái)說(shuō)，私鑰不應(yīng)進(jìn)行硬編碼，而應(yīng)存儲(chǔ)在安全的保險(xiǎn)庫(kù)之中。

為降低此類風(fēng)險(xiǎn)，建議使用鎖定文件（lock files），為依賴項(xiàng)指定特定版本并且盡量減少依賴項(xiàng)的使用。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/malicious-npm-packages-target-ethereum-developers-private-keys/