20个恶意npm包伪装成以太坊开发工具Hardhat窃取敏感信息

IT之家 1 月 4 日消息，科技媒体 bleepingcomputer 昨日（1 月 3 日）发布博文，报道称安全研究人员发现，有不法分子利用名称高度相似的恶意软件包，假冒以太坊开发工具 Hardhat，窃取开发者的私钥和其他敏感数据。

Hardhat 是由 Nomic 基金会维护的以太坊开发环境，广泛用于开发、测试和部署智能合约及去中心化应用（dApps），区块链软件开发者、金融科技公司和初创企业以及教育机构是其主要用户。

这些用户通常从 npm（Node Package Manager）获取项目组件，npm 是 JavaScript 生态系统中广泛使用的工具，可帮助开发者管理依赖项、库和模块。

击者在 npm 上创建了三个恶意账户，上传了 20 个窃取信息的软件包, 总共记录了 1000 多次下载。这些软件包使用“域名抢注”（typosquatting）的方式，模仿合法软件包的名称，诱骗用户安装。

IT之家附上 Socket 分享的 16 个恶意程序包的名称如下：

• nomicsfoundations

• @nomisfoundation/hardhat-configure

• installedpackagepublish

• @nomisfoundation/hardhat-config

• @monicfoundation/hardhat-config

• @nomicsfoundation/sdk-test

• @nomicsfoundation/hardhat-config

• @nomicsfoundation/web3-sdk

• @nomicsfoundation/sdk-test1

• @nomicfoundations/hardhat-config

• crypto-nodes-validator

• solana-validator

• node-validators

• hardhat-deploy-others

• hardhat-gas-optimizer

• solidity-comments-extractors

用户一旦安装，这些恶意软件包中的代码就会尝试收集 Hardhat 私钥、配置文件和助记词（mnemonics，用于访问以太坊钱包），使用硬编码的 AES 密钥对其进行加密，然后将其发送到攻击者控制的端点。

Socket 公司解释说：“这些软件包利用 hreInit () 和 hreConfig () 等函数，从 Hardhat 运行时环境中收集私钥、助记词和配置文件等敏感信息。收集到的数据通过硬编码的密钥和以太坊地址传输到攻击者控制的端点。”

由于许多受感染的系统属于开发者，攻击者可能获得对生产系统的未授权访问权限，从而破坏智能合约或部署现有 dApp 的恶意克隆版本，为更大规模、更具影响力的攻击奠定基础。