Kapanggih yén kode jahat diselapkeun kana perpustakaan @solana/web3.js, anu ngagaduhan 400-500 rébu unduhan per minggu di gudang NPM. Parobahan jahat ieu kaasup dina web3.js 1.95.6 jeung 1.95.7 Kaluaran, sarta diwangun ku integrasi kode pikeun ngirim konci swasta ka server éksternal. Integritas proyék ieu disimpen dina release 1.95.8. Analisis panyabab kajadian éta henteu acan réngsé, tapi numutkeun data awal, sékrési jahat dipasang ngaliwatan kompromi akun pangurus, ngagunakeun rékayasa sosial sareng metode phishing.
Perpustakaan web3.js diposisikan salaku SDK JavaScript resmi pikeun gawé bareng cryptocurrency Solana tina aplikasi anu dijalankeun dina browser atanapi nganggo platform sapertos Node.js sareng React Native. Proyék ieu dikembangkeun ku Solana Labs, anu ogé tanggung jawab pikeun pamekaran aplikasi sélulér sareng palaksanaan rujukan tina blockchain Solana. Solana cryptocurrency rengking kalima dina watesan dimodalan, balik ukur Bitcoin, Ethereum, XRP na USDT.
Serangan ieu nyababkeun ancaman yén panyerang bakal tiasa narik dana tina aplikasi anu nganggo versi web3.js anu dikompromi salaku dependensi. Ieu dicatet yén maling dana ngan bisa mangaruhan aplikasi desentralisasi (dapps) jeung bot nu langsung dianggo kalayan konci dikubur. Masalahna henteu mangaruhan dompét klien anu henteu langsung nganggo konci pribadi dina transaksi.
Perpustakaan web3.js ayeuna kadaptar salaku kagumantungan langsung kana 3262 proyék dina diréktori NPM, sarta ogé dipaké dina aplikasi wéb basis browser. Pamekar aplikasi dapps nganggo web3.js kedah mastikeun yén dependensi henteu kalebet versi web3.js 1.95.6 sareng 1.95.7, anu disebarkeun ngaliwatan NPM dinten Salasa 3 Désémber ti 18:20 dugi ka 23:25 (MSK). ).
Upami anjeun nganggo vérsi ieu, anjeun kedah ngapdet web3.js pikeun ngaleupaskeun 1.95.8 atanapi gulung deui ka vérsi 1.95.5. Disarankeun ogé ngarobih konci pribadi, ngaudit sistem anjeun, mariksa kode anjeun, sareng mariksa eusi diréktori node_modules pikeun gumantungna anu curiga.
Analisis parobahan dina versi 1.95.7 anu dikompromikeun ngungkabkeun yén kode jahat disuntikkeun dina bentuk fungsi "addToQueue", anu ngirim konci pribadi ka server "sol-rpc.xyz". Panggilan ka fungsi "addToQueue" ditambahkeun kana sababaraha lokasi dina kode dimana konci dimanipulasi. Pangiriman dilakukeun ku cara ngodekeun konci nganggo Base58 sareng nyebarkeun eusi antara header HTTP "x-session-id," "x-amz-cf-id," sareng "x-amz-cf-pop" anu dianggo ku CloudFlare. Domain "sol-rpc.xyz" didaptarkeun dina 22 Nopémber sareng di-host dina hosting CloudFlare.
sumber: opennet.ru
