近日，研究人員發(fā)現(xiàn)，有大量的惡意npm軟件包，它們冒充以太坊開發(fā)者使用的Hardhat開發(fā)環(huán)境，正在竊取私鑰和其他敏感數(shù)據(jù)。研究人員稱，這些惡意軟件包總共被下載了一千多次。

針對性攻擊活動 Hardhat是由Nomic Foundation維護(hù)的、廣泛用于以太坊開發(fā)的工具，它可用于在以太坊區(qū)塊鏈上開發(fā)、測試和部署智能合約以及去中心化應(yīng)用程序（dApps）。通常，區(qū)塊鏈軟件開發(fā)者、金融科技公司、初創(chuàng)企業(yè)和教育機(jī)構(gòu)會使用它。

這些用戶往往會通過npm（Node Package Manager，JavaScript生態(tài)系統(tǒng)里廣泛使用的工具，用于管理依賴項、庫和模塊）獲取項目組件。

在npm平臺上，三個惡意賬戶上傳了20個信息竊取包。這些包采用“拼寫錯誤偽裝”（typosquatting）手段冒充合法包，引誘用戶安裝。Socket列出了16個惡意包的名稱，包括：

• nomicsfoundations
• @nomisfoundation/hardhat - configure
• installedpackagepublish
• @nomisfoundation/hardhat - config
• @monicfoundation/hardhat - config
• @nomicsfoundation/sdk - test
• @nomicsfoundation/hardhat - config
• @nomicsfoundation/web3 - sdk
• @nomicsfoundation/sdk - test1
• @nomicfoundations/hardhat - config
• crypto - nodes - validator
• solana - validator
• node - validators
• hardhat - deploy - others
• hardhat - gas - optimizer
• solidity - comments - extractors

一旦安裝這些包，其中的代碼就會嘗試收集Hardhat的私鑰、配置文件以及助記詞，然后用硬編碼的AES密鑰進(jìn)行加密，再傳輸給攻擊者。

Socket解釋說：“這些包借助Hardhat運(yùn)行時環(huán)境，通過 hreInit() 和 hreConfig() 等函數(shù)收集私鑰、助記詞和配置文件等敏感信息，然后利用硬編碼的密鑰和以太坊地址將這些數(shù)據(jù)高效地泄露出去?！?/p>

安全風(fēng)險與緩解措施 私鑰和助記詞用于訪問以太坊錢包，所以此次攻擊首先可能導(dǎo)致的后果是發(fā)起未經(jīng)授權(quán)的交易從而使資金遭受損失。而且，由于許多受感染的系統(tǒng)屬于開發(fā)者，攻擊者可能會未經(jīng)授權(quán)訪問生產(chǎn)系統(tǒng)，破壞智能合約或者部署現(xiàn)有dApp的惡意克隆，為大規(guī)模攻擊做準(zhǔn)備。

Hardhat配置文件可能包含第三方服務(wù)的API密鑰以及開發(fā)網(wǎng)絡(luò)和端點(diǎn)的信息，這些信息可能被用于開展釣魚攻擊。

軟件開發(fā)者要謹(jǐn)慎行事，在安裝前驗(yàn)證軟件包的真實(shí)性，警惕拼寫錯誤偽裝并查看源代碼。一般來說，私鑰不應(yīng)進(jìn)行硬編碼，而應(yīng)存儲在安全的保險庫之中。

為降低此類風(fēng)險，建議使用鎖定文件（lock files），為依賴項指定特定版本并且盡量減少依賴項的使用。

參考來源：https://www.bleepingcomputer.com/news/security/malicious-npm-packages-target-ethereum-developers-private-keys/