Ethereum geliştiricileri tarafından kullanılan Hardhat geliştirme ortamını taklit eden yirmi kötü amaçlı paket, özel anahtarları ve diğer hassas verileri hedef alıyor.
Araştırmacılar, kötü amaçlı paketlerin toplu olarak binden fazla indirme kaydettiğini söylüyor.
Dar hedefleme kampanyası
Hardhat, Nomic Foundation tarafından sürdürülen, yaygın olarak kullanılan bir Ethereum geliştirme ortamıdır. Ethereum blok zincirinde akıllı sözleşmeler ve merkezi olmayan uygulamalar (dApp’ler) geliştirmek, test etmek ve dağıtmak için kullanılır.
Genellikle blockchain yazılım geliştiricileri, fintech firmaları ve startupları ile eğitim kurumları tarafından kullanılmaktadır.
Bu kullanıcılar genellikle proje bileşenlerini, geliştiricilerin bağımlılıkları, kitaplıkları ve modülleri yönetmesine yardımcı olan, JavaScript ekosisteminde yaygın olarak kullanılan bir araç olan npm’den (Note Paket Yöneticisi) alır.
NPM’de üç kötü niyetli hesap, yasal paketleri taklit etmek ve insanları bu paketleri yüklemeleri için kandırmak için yazım hatası kullanan 20 bilgi çalma paketi yükledi.
Socket, 16 kötü amaçlı paketin adını paylaştı:
- nomicsfoundations
- @nomisfoundation/hardconfigure
- yüklü paket yayınlama
- @nomisfoundation/hard-config
- @monicfoundation/hardhat-config
- @nomicsfoundation/sdk-test
- @nomicsfoundation/hardware-config
- @nomicsfoundation/web3-sdk
- @nomicsfoundation/sdk-test1
- @nomicfoundations/hardhat-config
- kripto-düğümleri-doğrulayıcı
- solana-doğrulayıcı
- düğüm doğrulayıcıları
- kask-dağıtım-diğerleri
- kask-gaz-iyileştirici
- sağlamlık-yorum-çıkarıcılar
Bu paketlerdeki kod yüklendikten sonra Hardhat özel anahtarlarını, yapılandırma dosyalarını ve anımsatıcıları toplamaya, bunları sabit kodlu bir AES anahtarıyla şifrelemeye ve ardından bunları saldırganlara sızdırmaya çalışır.
Socket, “Bu paketler, özel anahtarlar, anımsatıcılar ve yapılandırma dosyaları gibi hassas ayrıntıları toplamak için hreInit() ve hreConfig() gibi işlevleri kullanarak Hardhat çalışma zamanı ortamından yararlanıyor” diye açıklıyor.
“Toplanan veriler, saldırganların kontrol ettiği uç noktalara iletilir ve kolaylaştırılmış sızıntı için sabit kodlanmış anahtarlardan ve Ethereum adreslerinden yararlanılır.”
Güvenlik riskleri ve azaltımları
Ethereum cüzdanlarına erişmek için özel anahtarlar ve anımsatıcılar kullanılıyor, dolayısıyla bu saldırının ilk olası sonucu, yetkisiz işlemler başlatılarak fon kaybıdır.
Ayrıca, güvenliği ihlal edilen sistemlerin çoğu geliştiricilere ait olduğundan, saldırganlar üretim sistemlerine yetkisiz erişim sağlayabilir ve akıllı sözleşmeleri tehlikeye atabilir veya daha etkili, daha geniş ölçekli saldırılara zemin hazırlamak için mevcut dApp’lerin kötü amaçlı klonlarını dağıtabilir.
Hardhat yapılandırma dosyaları, üçüncü taraf hizmetlerine yönelik API anahtarlarının yanı sıra geliştirme ağı ve uç noktalar hakkındaki bilgileri de içerebilir ve kimlik avı saldırılarına hazırlanmak için kullanılabilir.
Yazılım geliştiricileri dikkatli davranmalı, paketin orijinalliğini doğrulamalı, yazım hatalarına karşı dikkatli olmalı ve kurulumdan önce kaynak kodunu incelemelidir.
Genel bir öneri olarak, özel anahtarlar sabit kodlanmamalı, güvenli kasalarda saklanmalıdır.
Bu tür risklere maruz kalmayı en aza indirmek için kilit dosyalarını kullanın, bağımlılıklarınız için belirli sürümler tanımlayın ve mümkün olduğunca az sayıda kullanın.