Hardhat eklentileri ve Nomic Foundation gibi görünen kötü niyetli bir npm kampanyasının, özel anahtarlar ve diğer hassas verileri elde etmek için Ethereum geliştiricilerini hedef aldığı gözlemleniyor.
Nomic Foundation tarafından sağlanan Hardhat, Ethereum geliştiricileri için önemli bir araçtır. Esnek bir Ethereum geliştirme ortamı olarak dApp’lerin ve akıllı sözleşmelerin geliştirilmesini, test edilmesini ve uygulanmasını basitleştirir.
Tedarik zinciri saldırısı şu anda Ethereum geliştirme ortamının kritik bileşenleri olan Nomic Foundation ve Hardhat platformlarını hedef alıyor.
Soket Araştırma Ekibi, Cyber Security News ile şunları paylaştı: “Saldırganlar, açık kaynak eklentilere duyulan güveni istismar ederek kötü amaçlı npm paketleri aracılığıyla bu platformlara sızarak özel anahtarlar, anımsatıcılar ve yapılandırma ayrıntıları gibi kritik verileri sızdırdı.”
Sahte Baret Paketleriyle Ethereum Geliştiricilerini Hedef Almak
Devam eden bu saldırıda kullanılan kötü amaçlı npm paketleri, orijinal eklentiler gibi görünmekte ve Nomic Foundation, Hardhat ve ilgili eklentileri hedef almaktadır.
Saldırı sonucunda üç ana yazar tarafından yazılan 20 kötü amaçlı paket tespit edildi; en popüler paket @nomicsfoundation/sdk-test 1.092 kez indirildi.
@nomisfoundation/hardhat-configure ve @monicfoundation/hardhat-config gibi paketler iki örnektir; meşru Hardhat eklentileri gibi görünüyorlar ancak kötü amaçlı kod içeriyorlar.
Araştırmacılar, kötü amaçlı paketlerin, orijinal oldukları izlenimini vermek için meşru Hardhat eklentilerinin adlarını taklit ettiğini gözlemledi. Hem kötü amaçlı yazılımlar hem de orijinal yazılımlar yararlı Hardhat uzantıları sunduğunu iddia eder.
Meşru eklentiler gibi kötü amaçlı paketler de Ethereum akıllı sözleşme testini, gaz optimizasyonunu ve dağıtım prosedürlerini hedef alır. NPM’de barındırılan kötü amaçlı paketler, geliştiricilerin bu ekosisteme olan güveninden yararlanır.
Meşru eklentiler Hardhat Runtime Environment’ı (HRE) sözleşme dağıtımı veya testi gibi meşru amaçlarla kullanırken, kötü amaçlı paketler hassas verileri sızdırmak için hreInit() veya hreConfig() gibi işlevlerden yararlanır.
Saldırganlar Hardhat ortamından özel anahtarlar ve anımsatıcılar gibi önemli verileri alır.
Özel bilgileri şifrelemek için önceden tanımlanmış bir AES anahtarı kullanılır. Daha sonra saldırgan tarafından kontrol edilen uç noktalar şifrelenmiş verileri alır.
hreInit() ve hreConfig() gibi işlevlerin kullanılmasıyla bu paketler, diğer hassas bilgilerin yanı sıra özel anahtarlar, anımsatıcılar ve yapılandırma dosyalarını elde etmek için Hardhat çalışma zamanı ortamından yararlanır.
Verimli sızıntı için Ethereum adresleri ve sabit kodlanmış anahtarlar kullanılarak toplanan veriler, saldırganın kontrolündeki uç noktalara gönderilir.
“Bu saldırı, özel anahtarlar ve anımsatıcılar da dahil olmak üzere hassas verileri tehlikeye atarak açık kaynak ekosistemlerine olan güveni baltalıyor. Ayrıca araştırmacılar, Ethereum ana ağına kötü niyetli sözleşmelerin dağıtılması riskinin bulunduğunu ve potansiyel hasarın daha da arttığını söyledi.
Saldırganlar, C2 sunucu adreslerini dinamik olarak almak için Ethereum akıllı sözleşmelerini kullandı. Bu yaklaşım, blockchain’in merkezi olmayan ve değiştirilemez özelliklerinden yararlanarak C2 altyapısının bozulmasını zorlaştırıyor.
Daha önceki kampanyalarla ilgili olarak belirli Ethereum cüzdan adresleri belirlendi. Özellikle 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84 numaralı cüzdan, Ethereum akıllı sözleşmelerinden yararlanan kampanyaya bağlandı ve C2 sunucu bilgilerine erişim için bir parametre olarak kullanıldı.
Paketleri dikkatli seçmek çok önemlidir. Geliştirme ortamlarını korumak için geliştiriciler ve kuruluşlar tarafından daha sıkı denetim ve izleme prosedürleri uygulamaya konulmalıdır.
Bu kötü amaçlı paketlerden birinin yanlışlıkla kurulmasını önlemek için ücretsiz Socket for GitHub uygulamasını yükleyin.
Socket’in yapay zeka destekli tehdit tespiti, bu tür saldırıların yanı sıra tedarik zinciri riskine ilişkin 70’ten fazla ek göstergeyi, geliştirme ortamınıza ulaşmadan önce tespit eder.
Uzlaşma Göstergeleri (IOC’ler)
Kötü amaçlı URL’ler
hxxps://projects[.]metabest[.]tech/api
hxxps://cryptoshiny[.]com/api
hxxps://cryptoshiny[.]com/api/projects/setData
hxxps://cryptoshiny[.]com/api/projects/getAddress
hxxps://projects[.]cryptosnowprince[.]com/api
hxxp://t0uxistfm4fo6bg9pjfpdqb1ssyjmfa4[.]oastify[.]com
hxxps://pastebin[.]com/api/api_post[.]php
Sabit Kodlanmış Anahtarlar
AES Key: 8GAq/DfzWy74ESgzmSYPXMSghwPjOY3oa7HZ6u+FSCs=:PMnracLLHhsVjTj+dwHOQQ==
Pastebin Developer Key: zCviLVtg0oHC2aT_xQ_7VU96pzxM35ju
Pastebin User Key: d8186f40984375851b912c75b5bd24e7
Ethereum Adresleri
0xC02aaA39b223FE8D0A0e5C4F27eAD9083C756Cc2
0xbb4CdB9CBd36B01bD1cBaEBF2De08d9173bc095c
0xae13d989daC2f0dEbFf460aC112a837C89BAa7cd
0xE0B7927c4aF23765Cb51314A0E0521A9645F0E2A
0x0d500B1d8E8eF31E21C99d1Db9A6444d3ADf1270
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin