攻擊概覽

這些惡意套件由npm帳戶 @crypto-exploit 發布，該帳戶使用電子郵件地址 bel11@list.ru 註冊，顯示可能的俄羅斯來源（ socket.dev ）。 攻擊者的策略涉及typosquatting—創建與合法套件名稱相似的套件名稱—以欺騙開發者安裝。 一旦安裝，這些套件會執行obfuscated JavaScript程式碼，從使用者的環境中提取敏感資訊並啟動未經授權的加密貨幣交易。

技術分析

混淆技術

這些套件中的惡意程式碼使用了大量的obfuscation來規避檢測。 例如， pancake_uniswap_validators_utils_snipe 套件包含以下程式碼片段：

var _0x450b = ["\x77\x65\x62\x33", "\x53\x57\x41\x50", "\x65\x6E\x76", "\x53\x4E\x49\x50\x45\x5F\x54\x4F\x4B\x45\x4E", ...];

這種十六進制編碼掩蓋了實際的函數名稱和字串，使得靜態分析變得困難。 這種obfuscation是一種常見策略，用於阻礙逆向工程並延遲惡意行為的識別。

錢包竊取機制

在執行時，惡意套件執行以下步驟：

1. 環境檢查 ：程式碼檢查環境變數和設定檔是否存在可能包含錢包認證或私鑰的內容。
2. 資料提取 ：提取敏感資訊，包括private keys和錢包位址。
3. 交易啟動 ：計算錢包餘額的百分比（最高可達85%）進行轉移。
4. 資金轉移 ：啟動一筆交易，將計算的金額發送到由攻擊者控制的hardcoded錢包地址。

這種方法確保受害者的錢包不會被完全清空，可能延遲懷疑並延長攻擊的隱蔽性。

持續性威脅

攻擊者通過多年發布多個套件展現了持續性。 最古老的套件 pancake_uniswap_validators_utils_snipe 可追溯至3-4年前，而最新的 env-process 在被檢測前已有超過1,000次下載（ socket.dev ）。 這種長期性顯示出逐漸滲透開源生態系統的精心策略。

對開源生態系統的影響

此次事件突顯了開源供應鏈的固有漏洞：

• Typosquatting風險 ：開發者可能因細微的拼寫錯誤而無意中安裝惡意套件。
• 延遲檢測 ：Obfuscated程式碼和隱蔽行為可能使惡意套件長時間未被發現。
• 信任濫用 ：攻擊者利用開發者對npm等廣泛使用的套件儲存庫的信任。

為減輕此類風險，開發者應：

• 驗證套件真實性 ：在安裝前仔細檢查套件名稱和來源。
• 使用安全工具 ：採用掃描已知漏洞和依賴項中可疑行為的工具。
• 限制權限 ：以最低必要的權限運行開發環境，以減少潛在損害。

結論

針對BSC和以太坊錢包的惡意npm套件的發現，凸顯了threat actors在危害開源供應鏈方面不斷演進的策略。 通過使用obfuscated程式碼和typosquatting技術，攻擊者能夠以驚人的效率滲透開發環境並竊取敏感資料。 此次事件提醒我們，保持警覺、採用穩健的安全實踐以及持續監控對於保護軟體開發生命週期的完整性至關重要。

參考資料

1. Malicious npm Packages Target BSC and Ethereum to Drain Crypto Wallets
2. Gmail For Exfiltration: Malicious npm Packages Target Solana Private Keys and Drain Victims' Wallets
3. Supply chain attack - Wikipedia
4. Leveraging Large Language Models to Detect npm Malicious Packages
5. Practical Automated Detection of Malicious npm Packages