安全研究人员发现,不法分子利用名称高度相似的恶意软件包,假冒以太坊开发工具 Hardhat,窃取开发者的私钥和其他敏感数据。Hardhat 是由 Nomic 基金会维护的以太坊开发环境,广泛用于开发、测试和部署智能合约及去中心化应用(dApps),主要用户包括区块链软件开发者、金融科技公司、初创企业和教育机构。
这些用户通常从 npm(Node Package Manager)获取项目组件。npm 是 JavaScript 生态系统中广泛使用的工具,帮助开发者管理依赖项、库和模块。攻击者在 npm 上创建了三个恶意账户,上传了 20 个窃取信息的软件包,总共记录了 1000 多次下载。这些软件包使用“域名抢注”(typosquatting)的方式,模仿合法软件包的名称,诱骗用户安装。
以下是 16 个已知的恶意程序包名称:
- nomicsfoundations
- @nomisfoundation/hardhat-configure
- installedpackagepublish
- @nomisfoundation/hardhat-config
- @monicfoundation/hardhat-config
- @nomicsfoundation/sdk-test
- @nomicsfoundation/hardhat-config
- @nomicsfoundation/web3-sdk
- @nomicsfoundation/sdk-test1
- @nomicfoundations/hardhat-config
- crypto-nodes-validator
- solana-validator
- node-validators
- hardhat-deploy-others
- hardhat-gas-optimizer
- solidity-comments-extractors
用户一旦安装这些恶意软件包,其中的代码就会尝试收集 Hardhat 私钥、配置文件和助记词,并使用硬编码的 AES 密钥对其进行加密,然后将其发送到攻击者控制的端点。这些软件包通过 hreInit() 和 hreConfig() 等函数,从 Hardhat 运行时环境中收集敏感信息。
由于许多受感染的系统属于开发者,攻击者可能获得对生产系统的未授权访问权限,从而破坏智能合约或部署现有 dApp 的恶意克隆版本,为更大规模、更具影响力的攻击奠定基础。请开发者务必提高警惕,确保从可信来源安装软件包,避免遭受此类攻击。
