概要
Socketは、五つの悪意のあるnpmパッケージが暗号開発者のウォレットキーを盗み、Telegramを通じて直接送信していることを報告しました。これらのパッケージは、人気のある暗号ライブラリのタイポスクイートまたはラップを使用しており、ソラナとイーサリアムの両方のエコシステムで攻撃が行われています。
悪意のあるnpmパッケージ
これらのパッケージは、「galedonovan」というアカウントによって公開され、ソラナとイーサリアムの開発者を標的としています。Socketは、これらのパッケージがTelegramボットベースのコマンド&コントロール(C2)チャネルに接続していることを確認しました。
攻撃の詳細
Solana向け:
raydium-bs58base-x-64bs58-basicbase_xd
これらのパッケージは、開発者が通常プライベートキーを処理する場所に悪意のあるコードを挿入し、アプリケーションの動作が正常であるように装いながら、シークレットが静かにエクスフィラートされます。
Ethereum向け:
ethersproject-wallet
このパッケージは、Walletコンストラクタ内でプライベートキーが渡されたときにトリガーされ、plaintextキーをTelegramグループに送信します。
C2インフラストラクチャ
すべてのパッケージは、同じTelegram Bot APIエンドポイントを使用して盗まれたキーを送信し、ハードコードされたボットトークンとチャットIDが各ペイロードに含まれています。
対策
Socketは、これらのサプライチェーン脅威をキャッチするためのGitHubアプリ、CLI、ファイアウォールおよびMCP統合を設計しています。開発者は、これらのパッケージが存在する場合にすぐに削除し、それらを通じて渡されたキーを侵害したものとして扱うべきです。
結論
この攻撃は、暗号エコシステムにおけるセキュリティの脆弱性を示しています。開発者は、これらのパッケージを使用しないように注意し、信頼できるソースからライブラリをインストールするべきです。