一次软件供应链攻击导致在 npm 注册表上发布了恶意版本的 Solana web3.js 库。

与最近发生的 Lottie Player 供应链泄露事件一样,这次攻击据说也是由于 npm.js 账户凭据被泄露(钓鱼)而导致的。

发生了什么?

“今天早些时候,@solana/web3.js 的一个发布访问账户被入侵,这是 Solana [去中心化应用程序] 常用的 JavaScript 库。这使得攻击者可以发布未经授权和恶意修改的软件包,从而窃取私钥材料,并从直接处理私钥的 dapp(如机器人)中抽走资金,”该库的维护者之一 Steven Luscher 周二证实。

“这不是 Solana 协议本身的问题,而是特定 JavaScript 客户端库的问题,而且似乎只影响直接处理私钥的项目,以及在 2024 年 12 月 2 日星期二下午 3:20 UTC 和晚上 8:25 UTC 窗口内更新的项目。”

该库的 1.95.6 和 1.95.7 版本已受到攻击,并已 “解除发布”。1.95.8版本是Solana应用程序开发人员被要求升级到的 “干净 ”版本。

Luscher 总结说:“开发人员如果怀疑自己的密钥可能被泄露,应该轮换任何可疑的授权密钥,包括多重加密、程序授权、服务器密钥对等。”

影响

SaaS云监控公司Datadog的安全研究员Christophe Tafani-Dereeper解释了被入侵的库版本中注入的恶意代码是如何通过CloudFlare标头渗出私钥的。

Helius 首席执行官默特-蒙塔兹(Mert Mumtaz)表示,这次攻击的影响尚未显现,不过看起来主要的钱包和应用程序都没有受到影响。

他说:“一般来说,钱包应该不会受到影响,因为它们不会暴露私钥–最大的影响是在后台(即不面向用户)运行JS机器人的人,如果他们在规定时间内(补丁发布前的最后几个小时)更新到这个版本,那么这些服务器上的私钥**会受到影响。”

“如果您是 Solana 开发人员,请立即检查您的软件包,确保现在或将来都不会使用这些版本,尤其是检查任何自动化程序。”

文章原文链接:https://www.anquanke.com/post/id/302473