Diketahui bahwa kode berbahaya telah dimasukkan ke dalam perpustakaan @solana/web3.js, yang memiliki 400-500 ribu unduhan per minggu di repositori NPM. Perubahan berbahaya disertakan dalam rilis web3.js 1.95.6 dan 1.95.7, dan terdiri dari pengintegrasian kode untuk mengirim kunci pribadi ke server eksternal. Integritas proyek dipulihkan pada rilis 1.95.8. Analisis penyebab insiden tersebut belum selesai, namun menurut data awal, rilis berbahaya diposting melalui penyusupan akun pengelola, menggunakan rekayasa sosial dan metode phishing.
Pustaka web3.js diposisikan sebagai SDK JavaScript resmi untuk bekerja dengan mata uang kripto Solana dari aplikasi yang berjalan di browser atau menggunakan platform seperti Node.js dan React Native. Proyek ini dikembangkan oleh organisasi Solana Labs, yang juga bertanggung jawab atas pengembangan aplikasi seluler dan implementasi referensi dari blockchain Solana. Cryptocurrency Solana menempati peringkat kelima dalam hal kapitalisasi, hanya di belakang Bitcoin, Ethereum, XRP, dan USDT.
Serangan ini menimbulkan ancaman bahwa penyerang akan dapat menarik dana dari aplikasi yang menggunakan versi web3.js yang disusupi sebagai dependensi. Perlu dicatat bahwa pencurian dana hanya dapat memengaruhi aplikasi terdesentralisasi (dapps) dan bot yang bekerja langsung dengan kunci yang terkubur. Masalah ini tidak mempengaruhi dompet klien yang tidak secara langsung menggunakan kunci pribadi dalam transaksi.
Pustaka web3.js saat ini terdaftar sebagai ketergantungan langsung pada 3262 proyek di direktori NPM, dan juga digunakan dalam aplikasi web berbasis browser. Pengembang aplikasi dapps yang menggunakan web3.js perlu memastikan bahwa dependensinya tidak menyertakan web3.js versi 1.95.6 dan 1.95.7, yang didistribusikan melalui NPM pada hari Selasa, 3 Desember mulai pukul 18:20 hingga 23:25 (MSK ).
Jika Anda menggunakan versi ini, Anda harus memperbarui web3.js ke rilis 1.95.8 atau memutar kembali ke versi 1.95.5. Disarankan juga untuk mengubah kunci pribadi, mengaudit sistem Anda, memeriksa kode Anda, dan memeriksa konten direktori node_modules untuk mencari dependensi yang mencurigakan.
Analisis perubahan pada versi 1.95.7 yang disusupi mengungkapkan bahwa kode berbahaya disuntikkan dalam bentuk fungsi "addToQueue", yang mengirimkan kunci privat ke server "sol-rpc.xyz". Panggilan ke fungsi "addToQueue" ditambahkan ke berbagai lokasi dalam kode tempat kunci dimanipulasi. Pengiriman dilakukan dengan mengenkode kunci menggunakan Base58 dan mendistribusikan isinya di antara header HTTP "x-session-id", "x-amz-cf-id", dan "x-amz-cf-pop" yang digunakan oleh CloudFlare. Domain "sol-rpc.xyz" didaftarkan pada 22 November dan dihosting di menjadi tuan rumah CloudFlare.
Sumber: opennet.ru
