2 декабря 2024 года пакет Solana Web3.js был скомпрометирован в результате атаки на цепочку поставок и взлома аккаунта с соответствующими правами. В результате в код библиотеки внедрили бэкдор для кражи приватных криптовалютных ключей.
Библиотека https://www.npmjs.com/package/@solana/web3.js, которую еженедельно загружают из npm порядка 400 000 раз, используется разработчиками для создания децентрализованных приложений (dApps) для Node, веба и React Native. Библиотека обеспечивает взаимодействие между dApps, аккаунтами и программами в сети Solana.
Первыми атаку на цепочку поставок заметили аналитики компании https://socket.dev/blog/supply-chain...eb3-js-library. По их словам, две версии библиотеки (1.95.6 и 1.95.7) были заменены на вредоносные и оставались доступны для скачивания через официальный репозиторий на протяжении примерно пяти часов (с 15:20 до 20:25, 2 декабря 2024 года).
Скомпрометированные версии Web3.js содержали вредоносный код, который позволял злоумышленникам похищать приватные ключи у разработчиков и пользователей, а в итоге — воровать чужую криптовалюту.
По https://bsky.app/profile/did:plc:zwl.../3lcgt6l7s4c2aИБ-специалиста компании DataDog Кристофа Тафани-Дерипера (Christophe Tafani-Dereeper), злоумышленники добавили в код вредоносную функцию addToQueue, которая воровала секретные и приватные ключи под видом легитимных заголовков CloudFlare, а затем передавала информацию на сервер хакеров.
https://xakep.ru/wp-content/uploads/...pt-snippet.jpg
Мейнтейнеры Solana уже https://github.com/solana-labs/solana-web3.js/releases. По их словам, атака произошла после компрометации учетной записи с доступом к публикации, что позволило злоумышленникам выложить две вредоносные версии библиотеки.
Всем разработчикам, которые могли взаимодействовать с вредоносными версиями пакета, рекомендуется немедленно обновиться до последней версии 1.95.8, а также провести ротацию всех ключей, секретов и учетных данных.
«Эта проблема не должна затрагивать некастодиальные кошельки, так как они обычно не раскрывают приватные ключи во время транзакций. Проблема связана не с самим протоколом Solana, а с конкретной клиентской библиотекой JavaScript и, похоже, повлияла только на проекты, которые напрямую работают с приватными ключами», — пишут мейнтейнеры.
При этом специалисты https://github.com/advisories/GHSA-2mhj-xmf4-pr8mпредупреждают, что даже удаление пакета не гарантирует, что с машины будут удалены другие вредоносные программы, появившиеся в результате его установки. То есть разработчикам следует считать свои системы полностью скомпрометированными.
Также инцидент уже прокомментировали представители https://www.binance.com/en-ZA/square...17090897012066. По их информации, ни один из крупных криптовалютных кошельков не был взломан в рамках этой атаки на цепочку поставок, но атаки все же имели место.
«Предполагается, что сторонние инструменты, связанные с приватными ключами, включая ботов, могли быть скомпрометированы из-за своевременного обновления зависимостей», — сообщают в Binance.
По информации аналитиков Socket, атаку удалось проследить до адреса https://solscan.io/account/FnvLGtucz...6WPStHCcbAKbfx, на котором в настоящее время содержится 674,86 Solana и различное количество токенов Irish Pepe, Star Atlas, Jupiter, USD Coin, Santa Hat, Pepe on Fire, Bonk, catwifhat и Genopets Ki. То есть стоимость предположительно украденной криптовалюты может составлять более 180 000 долларов США.
https://xakep.ru/2024/12/05/solana-web3-js/

Вот это круто!https://txgate.io/images/smilies/clapping.gif