Peneliti keamanan siber telah mengungkapkan beberapa paket berbahaya di registri npm yang ditemukan meniru alat Hardhat Nomic Foundation untuk mencuri data sensitif dari sistem pengembang.
“Dengan mengeksploitasi kepercayaan pada plugin open source, penyerang telah menyusup ke platform ini melalui paket npm berbahaya, mengambil data penting seperti kunci pribadi, mnemonik, dan detail konfigurasi,” kata tim peneliti Socket dalam sebuah analisis.
Hardhat adalah lingkungan pengembangan untuk perangkat lunak Ethereum, yang menggabungkan berbagai komponen untuk mengedit, mengompilasi, men-debug, dan menerapkan kontrak pintar dan aplikasi terdesentralisasi (dApps).
Daftar paket palsu yang teridentifikasi adalah sebagai berikut –
- yayasan nomics
- @nomisfoundation/hardhat-configure
- installpackagepublish
- @nomisfoundation/hardhat-config
- @monicfoundation/hardhat-config
- @nomicsfoundation/sdk-test
- @nomicsfoundation/hardhat-config
- @nomicsfoundation/web3-sdk
- @nomicsfoundation/sdk-test1
- @nomicfoundations/hardhat-config
- validator-node-kripto
- solana-validator
- validator simpul
- hardhat-deploy-lainnya
- hardhat-gas-optimizer
- ekstraktor-komentar-soliditas
Dari paket-paket ini, @nomicsfoundation/sdk-test telah menarik 1.092 unduhan. Itu diterbitkan lebih dari setahun yang lalu pada bulan Oktober 2023. Setelah diinstal, mereka dirancang untuk mengumpulkan frasa mnemonik dan kunci pribadi dari lingkungan Hardhat, setelah itu dieksfiltrasi ke server yang dikendalikan penyerang.
“Serangan dimulai ketika paket-paket yang dikompromikan diinstal. Paket-paket ini mengeksploitasi lingkungan runtime Hardhat menggunakan fungsi-fungsi seperti hreInit() dan hreConfig() untuk mengumpulkan detail sensitif seperti kunci pribadi, mnemonik, dan file konfigurasi,” kata perusahaan itu.
“Data yang dikumpulkan dikirim ke titik akhir yang dikendalikan penyerang, memanfaatkan kunci hardcode dan alamat Ethereum untuk eksfiltrasi yang efisien.”
Pengungkapan ini terjadi beberapa hari setelah ditemukannya paket npm berbahaya lainnya bernama ethereumvulncontracthandler yang menyamar sebagai perpustakaan untuk mendeteksi kerentanan dalam kontrak pintar Ethereum tetapi malah menyembunyikan fungsi untuk menghapus malware Quasar RAT.
Dalam beberapa bulan terakhir, paket npm berbahaya juga telah diamati menggunakan kontrak pintar Ethereum untuk distribusi alamat server perintah dan kontrol (C2), mengkooptasi mesin yang terinfeksi ke dalam botnet bertenaga blockchain yang disebut MisakaNetwork. Kampanye tersebut telah dilacak kembali ke aktor ancaman berbahasa Rusia bernama “_lain.”
“Pelaku ancaman menunjukkan kompleksitas ekosistem npm yang melekat, di mana paket sering kali bergantung pada banyak ketergantungan, sehingga menciptakan struktur 'boneka bersarang' yang kompleks,” kata Socket.
“Rantai ketergantungan ini membuat tinjauan keamanan yang komprehensif menjadi menantang dan membuka peluang bagi penyerang untuk memasukkan kode berbahaya. _lain mengaku mengeksploitasi kompleksitas dan penyebaran ketergantungan ini dalam ekosistem npm, karena mengetahui bahwa tidak praktis bagi pengembang untuk meneliti setiap paket dan ketergantungan.”
Bukan itu saja. Serangkaian perpustakaan palsu yang ditemukan di ekosistem npm, PyPI, dan RubyGems ditemukan memanfaatkan alat pengujian keamanan aplikasi (OAST) out-of-band seperti oastify.com dan oast.fun untuk mengekstrak data sensitif ke server yang dikendalikan penyerang.
Nama paketnya adalah sebagai berikut –
- adobe-dcapi-web (npm), yang menghindari kompromi pada titik akhir Windows, Linux, dan macOS yang berlokasi di Rusia dan dilengkapi dengan kemampuan untuk mengumpulkan informasi sistem
- monoliht (PyPI), yang mengumpulkan metadata sistem
- chauuuyhhn, nosvemosssadfsd, holaaaaaafasdf (RubyGems), yang berisi skrip tertanam yang dirancang untuk mentransfer informasi sensitif melalui kueri DNS ke titik akhir oastify.com
“Alat dan teknik yang sama yang dibuat untuk penilaian keamanan etis disalahgunakan oleh pelaku ancaman,” kata peneliti Socket, Kirill Boychenko. “Awalnya dimaksudkan untuk mengungkap kerentanan dalam aplikasi web, metode OAST semakin dieksploitasi untuk mencuri data, membangun saluran perintah dan kontrol (C2), dan melakukan serangan multi-tahap.”
Untuk memitigasi risiko rantai pasokan yang ditimbulkan oleh paket tersebut, disarankan agar pengembang perangkat lunak memverifikasi keaslian paket, berhati-hati saat mengetik nama paket, dan memeriksa kode sumber sebelum instalasi.
