Исследователи кибербезопасности обнаружили несколько вредоносных пакетов в реестре npm, которые маскируются под инструмент Hardhat от Nomic Foundation, чтобы похищать конфиденциальные данные у разработчиков.
Команда исследователей Socket сообщает, что злоумышленники используют доверие к открытым исходным кодам, чтобы распространять вредоносные npm-пакеты, похищая приватные ключи, мнемоники и данные конфигурации.
Hardhat — это среда разработки для программного обеспечения Ethereum, включающая инструменты для редактирования, компиляции, отладки и развертывания смарт-контрактов и децентрализованных приложений (dApps).
Список поддельных пакетов:
В последние месяцы вредоносные npm-пакеты также использовались для управления серверами команд и контроля через смарт-контракты Ethereum, создавая ботнет на основе блокчейна под названием MisakaNetwork. Кампания связана с русскоязычным злоумышленником под ником _lain, который использует сложность экосистемы npm для внедрения вредоносного кода.
Кроме того, фальшивые библиотеки в реестрах npm, PyPI и RubyGems использовали инструменты OAST, такие как oastify.com, для кражи данных.
Примеры таких пакетов:
Источник: https://thehackernews.com/2025/01/russian-speaking-attackers-target.html
Команда исследователей Socket сообщает, что злоумышленники используют доверие к открытым исходным кодам, чтобы распространять вредоносные npm-пакеты, похищая приватные ключи, мнемоники и данные конфигурации.
Hardhat — это среда разработки для программного обеспечения Ethereum, включающая инструменты для редактирования, компиляции, отладки и развертывания смарт-контрактов и децентрализованных приложений (dApps).
Список поддельных пакетов:
- nomicsfoundations
- @nomisfoundation/hardhat-configure
- installedpackagepublish
- @nomisfoundation/hardhat-config
- @monicfoundation/hardhat-config
- @nomicsfoundation/sdk-test
- @nomicsfoundation/hardhat-config
- @nomicsfoundation/web3-sdk
- @nomicsfoundation/sdk-test1
- @nomicfoundations/hardhat-config
- crypto-nodes-validator
- solana-validator
- node-validators
- hardhat-deploy-others
- hardhat-gas-optimizer
- solidity-comments-extractors
Как работает атака
Атака начинается с установки скомпрометированных пакетов. Они используют функции среды Hardhat, такие как hreInit() и hreConfig(), чтобы собирать данные, включая приватные ключи, мнемоники и файлы конфигурации. Собранная информация отправляется злоумышленникам через заранее закодированные ключи и Ethereum-адреса.Другие инциденты
Недавно был обнаружен еще один вредоносный пакет — ethereumvulncontracthandler, который выдавал себя за библиотеку для проверки уязвимостей смарт-контрактов Ethereum, но на самом деле внедрял троян Quasar RAT.В последние месяцы вредоносные npm-пакеты также использовались для управления серверами команд и контроля через смарт-контракты Ethereum, создавая ботнет на основе блокчейна под названием MisakaNetwork. Кампания связана с русскоязычным злоумышленником под ником _lain, который использует сложность экосистемы npm для внедрения вредоносного кода.
Кроме того, фальшивые библиотеки в реестрах npm, PyPI и RubyGems использовали инструменты OAST, такие как oastify.com, для кражи данных.
Примеры таких пакетов:
- adobe-dcapi-web (npm) — собирает системную информацию, но избегает устройств из России.
- monoliht (PyPI) — собирает метаданные системы.
- chauuuyhhn, nosvemosssadfsd, holaaaaaafasdf (RubyGems) — отправляют данные через DNS-запросы на oastify.com.
Источник: https://thehackernews.com/2025/01/russian-speaking-attackers-target.html