Angreifer imitieren legitime Plug-ins für die Ethereum-Entwicklungsumgebung Hardhat der Nomad Foundation. Damit greifen sie Entwickler von Software wie Smart Contracts für die Kryptowährung an. Die Täter missbrauchen dabei das Vertrauen, das Entwickler in Open-Source-Plug-ins haben.
Anzeige
Wie die IT-Sicherheitsforscher von Socket in einem Blog-Beitrag schreiben, dauert der Angriff noch an. Bislang haben sie 20 bösartige Pakete von drei Programmierern aufgespürt, die teils auf mehr als Tausend Downloads kommen. Durch die Installation der gefälschten NPM-Pakete kommt es zur Kompromittierung der Entwicklungsumgebungen, möglichen Hintertüren in Produktivsystemen und Verlust von Geldmitteln.
Mit Smart Contracts für Ethereum holen die Angreifer die Adressen von Command-and-Control-Servern. Das nutzt die dezentrale und unveränderliche Natur der Blockchain aus, wodurch es schwierig sei, die Command-and-Control-Infrastruktur außer Betrieb zu nehmen. Die IT-Sicherheitsforscher konnten Ethereum-Wallet-Adressen ausfindig machen, die im Zusammenhang mit dieser Malware-Kampagne stehen.
Um einen legitimen Anschein zu erwecken, haben sich die Kriminellen an der regulären Namensgebung der Hardhat-Plug-ins orientiert. Socket nennt etwa die Pakete @nomisfoundation/hardhat-configure und @monicfoundation/hardhat-config, die wie originale Hardhat-Plug-ins wirken, aber bösartigen Code enthalten. Auch die Funktionen imitieren die Täter. Während ein legitimes Plug-in etwa hardhat-deploy heißt, lautet der Name eines schädlichen Plug-ins hardhat-deploy-others.
Die bösartigen Plug-ins zielen wie die regulären auf den Deployment-Prozess und auf das Ethereum-Smart-Contract-Testing. Durch das Hosting auf NPM missbrauchen sie das Vertrauen von Entwicklern in dieses Ökosystem. Um sensible Daten auszuschleusen, nutzen die schädlichen Pakete Funktionen wie hreInit() oder hreConfig(), während legitime Plug-ins die Hardhat Runtime Environment (HRE) für valide Aufgaben wie das Deployment von Smart Contracts oder zum Testen nutzen.
Die Socket-Analysten schreiben, dass Entwickler aufmerksam bei der Paketauswahl sein müssen. Entwickler und Organisationen sollten demnach eine strengere Prüfung und Überwachung der Entwicklungsumgebungen umsetzen. Der Blog-Beitrag listet 16 schädliche Pakete auf sowie bösartige URLs, Krypto-Schlüssel und Ethereum-Adressen als Hinweise auf Infektionen (Indicators Of Compromise [IOCs]).
Entwickler von Kryptowährungssoftware stehen öfter im Visier von Angreifern. Ende November wurde etwa bekannt, dass ein Entwickler mit ChatGPT einen "Bump Bot" programmieren wollte. Die KI hat in den Code jedoch eine betrügerische API eingebaut, wodurch dem Krypto-Interessierten 2500 US-Dollar Schaden entstand.
(
Kommentare