مكتبة Solana Web3.js ذات أبواب خلفية لسرقة المفاتيح السرية والخاصة

تم اختراق Solana JavaScript SDK المشروع مؤقتًا بالأمس في هجوم على سلسلة التوريد، حيث تم إغلاق المكتبة بباب خلفي باستخدام تعليمات برمجية ضارة لسرقة المفاتيح الخاصة للعملات المشفرة واستنزاف المحافظ.

تقدم Solana مجموعة SDK تسمى “@solana/web3.js” تستخدمها التطبيقات اللامركزية (dApps) للاتصال والتفاعل مع Solana blockchain.

أفادت شركة سوكيت لأمن سلسلة التوريد أن مكتبة Solana’s Web3.js قد تم اختطافها لإخراج نسختين ضارتين لسرقة مفاتيح التشفير الخاصة والسرية لتأمين المحافظ وتوقيع المعاملات.

“A supply chain attack has been detected in versions 1.95.6 and 1.95.7 of the popular @solana/web3.js library, which receives more than ~350,000 weekly downloads on npm,” يشرح” target=”_فارغ” rel=”nofollow noopener”>Socket.

“These compromised versions contain injected malicious code that is designed to steal private keys from unsuspecting developers and users, potentially enabling attackers to drain cryptocurrency wallets.”

سولانا” target=”_فارغ” rel=”nofollow noopener”>أكد الانتهاك، مشيرًا إلى أن أحد حسابات الوصول للنشر الخاصة بهم قد تم اختراقه، مما سمح للمهاجمين بنشر نسختين ضارتين من المكتبة.

يحذر Solana المطورين الذين يشتبهون في تعرضهم للاختراق للترقية فورًا إلى الإصدار الأحدث v1.95.8 وتدوير أي مفاتيح، بما في ذلك multisigs وسلطات البرنامج وأزواج مفاتيح الخادم.

أداة سرقة المفاتيح Solana Web3.js

وفقا لباحث DataDog” target=”_فارغ” rel=”nofollow noopener”>كريستوف تافاني-ديريبرأضافت الجهات الفاعلة التهديد وظيفة addToQueue الضارة التي سرقت المفاتيح السرية والخاصة وأرسلتها إلى خادم المهاجم.

“The backdoor inserted in v1.95.7 adds an “addToQueue” function which exfiltrates the private key through seemingly-legitimate CloudFlare headers,” يشرح الباحث.

“Calls to this function are then inserted in various places that (legitimately) access the private key.”

قام BleepingComputer بمراجعة المكتبة المخترقة، وتمت إضافة الاستدعاءات إلى وظيفة addToQueue إلى خمسة مواقع رئيسية في librar – fromSecretKey(),fromSeed(),createInstructionWithPublicKey()، و createInstructionWithPrivateKey() الوظائف، و account constructor.

يتم استخدام الوظائف في جميع أنحاء المكتبة ولها الوظائف التالية:

• fromSecretKey(): إنشاء زوج مفاتيح من مصفوفة بايت للمفتاح السري الخام.
• fromSeed(): إنشاء زوج مفاتيح من بذرة 32 بايت.
• createInstructionWithPrivateKey(): قم بإنشاء تعليمات ed25519 باستخدام مفتاح خاص.
• createInstructionWithPrivateKey(): قم بإنشاء تعليمات secp256k1 باستخدام مفتاح خاص.

ستقوم التعليمات البرمجية الضارة بسرقة المفتاح السري الذي تم تمريره أو إنشاؤه (أول وظيفتين ومنشئ الحساب) أو المفتاح الخاص الذي تم تمريره (آخر وظيفتين) وإرساله إلى نقاط النهاية الخاصة بالمهاجم على https://sol-rpc[.]xyz/api/rpc/queue.

تم تسجيل هذا النطاق في 22 نوفمبر الساعة 19:58:27 بالتوقيت العالمي ولم تتم رؤيته مستخدمًا في هجمات أخرى.

بمجرد أن يتمكن ممثلو التهديد من الوصول إلى هذه المفاتيح، يمكنهم تحميلها في محافظهم الخاصة واستنزاف جميع العملات المشفرة والرموز غير القابلة للاستبدال (NFTs) المخزنة عن بعد.

يقول سوكيت أن الهجوم قد تم إرجاعه إلى” target=”_فارغ” rel=”nofollow noopener”>FnvLGtucz4E1ppJHRTev6Qv4X7g8Pw6WPStHCcbAKbfx عنوان Solana، والذي يحتوي حاليًا على 674.86 Solana وكميات متفاوتة من العملات الأيرلندية Pepe وStar Atlas وJupiter وUSD Coin وSanta Hat وPepe on Fire وBonk وcatwifhat وGenopets Ki.

يوضح Solscan أن القيمة المقدرة للعملة المشفرة المسروقة تبلغ 184000 دولار في وقت كتابة هذه السطور.

بالنسبة لأي شخص تعرضت محفظته للاختراق في هذا الهجوم على سلسلة التوريد، يجب عليك على الفور تحويل أي أموال متبقية إلى محفظة جديدة والتوقف عن استخدام المحفظة القديمة لأن المفاتيح الخاصة أصبحت الآن معرضة للخطر.