Vingt paquets malveillants usurpant l’identité de l’environnement de développement Hardhat utilisé par les développeurs Ethereum ciblent des clés privées et d’autres données sensibles.
Collectivement, les paquets malveillants ont enregistré plus d’un millier de téléchargements, selon les chercheurs.
Campagne de ciblage étroit
Hardhat est un environnement de développement Ethereum largement utilisé et maintenu par la Fondation Nomic. Il est utilisé pour développer, tester et déployer des contrats intelligents et des applications décentralisées (DApps) sur la blockchain Ethereum.
Il est généralement utilisé par les développeurs de logiciels blockchain, les entreprises et startups fintech et les établissements d’enseignement.
Ces utilisateurs s’approvisionnent souvent en composants de projet à partir de npm (Note Package Manager), un outil largement utilisé dans l’écosystème JavaScript qui aide les développeurs à gérer les dépendances, les bibliothèques et les modules.
Sur npm, trois comptes malveillants ont téléchargé 20 packages de vol d’informations qui utilisaient le typosquattage pour usurper l’identité de packages légitimes et inciter les gens à les installer.
Socket a partagé les noms de 16 paquets malveillants, qui sont:
- nomicsfoundations
- @nomisfoundation/hardhat-configure
- installedpackagepublish
- @nomisfoundation/hardhat-config
- @monicfoundation/hardhat-config
- @nomicsfoundation/sdk-test
- @nomicsfoundation/hardhat-config
- @nomicsfoundation/web3-sdk
- @nomicsfoundation/sdk-test1
- @nomicfoundations/hardhat-config
- crypto-nodes-validator
- solana-validator
- node-validators
- hardhat-deploy-others
- hardhat-gas-optimizer
- solidity-comments-extractors
Une fois installé, le code de ces packages tente de collecter les clés privées Hardhat, les fichiers de configuration et les mnémoniques, de les chiffrer avec une clé AES codée en dur, puis de les exfiltrer vers les attaquants.
” Ces packages exploitent l’environnement d’exécution du casque à l’aide de fonctions telles que hreInit() et hreConfig() pour collecter des détails sensibles tels que des clés privées, des mnémoniques et des fichiers de configuration », explique Socket.
“Les données collectées sont transmises aux terminaux contrôlés par les attaquants, en exploitant les clés codées en dur et les adresses Ethereum pour une exfiltration simplifiée.”
Risques de sécurité et mesures d’atténuation
Les clés privées et les mnémoniques sont utilisés pour accéder aux portefeuilles Ethereum, de sorte que la première ramification potentielle de cette attaque est la perte de fonds en initiant des transactions non autorisées.
De plus, étant donné que de nombreux systèmes compromis appartiennent à des développeurs, les attaquants pourraient obtenir un accès non autorisé aux systèmes de production et compromettre des contrats intelligents ou déployer des clones malveillants d’applications DAPP existantes pour préparer le terrain pour des attaques plus percutantes et à plus grande échelle.
Les fichiers de configuration du casque peuvent inclure des clés API pour des services tiers ainsi que des informations sur le réseau de développement et les points de terminaison, et ils peuvent être exploités pour préparer des attaques de phishing.
Les développeurs de logiciels doivent faire preuve de prudence, vérifier l’authenticité du package, se méfier du typosquattage et inspecter le code source avant l’installation.
En règle générale, les clés privées ne doivent pas être codées en dur mais stockées dans des coffres sécurisés.
Pour minimiser l’exposition à de tels risques, utilisez des fichiers de verrouillage, définissez des versions spécifiques pour vos dépendances et utilisez-en aussi peu que possible.