以太坊開(kāi)發(fā)工具Hardhat遭假冒，20個(gè)惡意npm包竊取開(kāi)發(fā)者敏感信息

近期，科技安全領(lǐng)域迎來(lái)了一起令人矚目的安全事件。據(jù)bleepingcomputer報(bào)道，網(wǎng)絡(luò)犯罪分子通過(guò)偽裝成以太坊開(kāi)發(fā)必備工具Hardhat的惡意軟件包，成功竊取了大量開(kāi)發(fā)者的私鑰及敏感數(shù)據(jù)。

Hardhat，作為由Nomic基金會(huì)維護(hù)的以太坊開(kāi)發(fā)環(huán)境，其在智能合約、去中心化應(yīng)用（dApps）的開(kāi)發(fā)、測(cè)試及部署中扮演著至關(guān)重要的角色。該工具深受區(qū)塊鏈軟件開(kāi)發(fā)者、金融科技公司、初創(chuàng)企業(yè)及教育機(jī)構(gòu)的青睞。

這些用戶習(xí)慣于通過(guò)npm（Node Package Manager），這一Java生態(tài)系統(tǒng)中不可或缺的工具，來(lái)獲取項(xiàng)目所需的組件。npm不僅幫助開(kāi)發(fā)者輕松管理依賴項(xiàng)、庫(kù)和模塊，還極大提升了開(kāi)發(fā)效率。

然而，正是這一便捷的獲取途徑，成為了不法分子實(shí)施攻擊的突破口。攻擊者在npm上建立了三個(gè)惡意賬戶，并上傳了多達(dá)20個(gè)旨在竊取信息的軟件包。這些軟件包通過(guò)“域名搶注”的伎倆，巧妙模仿合法軟件包的名稱(chēng)，誘使用戶在不知不覺(jué)中安裝了它們。據(jù)統(tǒng)計(jì)，這些惡意軟件包的總下載量已逾千次。

以下是Socket分享的16個(gè)惡意程序包的名稱(chēng)，它們分別是：nomicsfoundations、@nomisfoundation/hardhat-configure、installedpackagepublish、@nomisfoundation/hardhat-config、@monicfoundation/hardhat-config、@nomicsfoundation/sdk-test、@nomicsfoundation/hardhat-config（重復(fù)）、@nomicsfoundation/web3-sdk、@nomicsfoundation/sdk-test1、@nomicfoundations/hardhat-config、crypto-nodes-validator、solana-validator、node-validators、hardhat-deploy-others、hardhat-gas-optimizer以及solidity-comments-extractors。

一旦用戶安裝了這些惡意軟件包，其內(nèi)部的代碼便會(huì)悄無(wú)聲息地收集Hardhat的私鑰、配置文件及助記詞（用于訪問(wèn)以太坊錢(qián)包的密鑰）。隨后，這些敏感信息會(huì)被硬編碼的AES密鑰加密，并發(fā)送至攻擊者控制的服務(wù)器。

Socket公司對(duì)此進(jìn)行了詳細(xì)解釋?zhuān)骸斑@些惡意軟件包利用了Hardhat運(yùn)行時(shí)環(huán)境中的hreInit和hreConfig等函數(shù)，大肆收集私鑰、助記詞及配置文件等敏感信息。收集到的數(shù)據(jù)通過(guò)硬編碼的密鑰和以太坊地址，被悄無(wú)聲息地傳輸至攻擊者控制的端點(diǎn)?！?/p>