HackerNews 编译,转载请注明出处:
在npm包注册表中发现了四个新的恶意包,这些包能够从以太坊开发者那里窃取加密货币钱包的凭证。
“这些包伪装成合法的加密工具和Flashbots MEV基础设施,同时秘密地将私钥和助记词种子发送到威胁行为者控制的Telegram机器人,”Socket研究员Kush Pandya在分析中表示。
这些包是由一个名为“flashbotts”的用户上传到npm的,最早的库可以追溯到2023年9月。最近一次上传发生在2025年8月19日。截至本文撰写时,所有这些包仍然可以下载,它们的列表如下:
– @flashbotts/ethers-provider-bundle(52次下载)
– flashbot-sdk-eth(467次下载)
– sdk-ethers(90次下载)
– gram-utilz(83次下载)
鉴于Flashbots在对抗以太坊网络上最大可提取价值(MEV)的不利影响(如夹击攻击、清算、后跑、前跑和时间窃贼攻击)中的作用,对Flashbots的伪装并非巧合。
在被识别的库中,最危险的是“@flashbotts/ethers-provider-bundle”,它利用其功能性的伪装来隐藏恶意操作。在声称提供完整的Flashbots API兼容性的幌子下,该包包含了通过Mailtrap使用SMTP发送环境变量的隐蔽功能。
此外,npm包实现了一个交易操纵函数,将所有未签名的交易重定向到攻击者控制的钱包地址,并记录预签名交易的元数据。
根据Socket的说法,sdk-ethers大多是无害的,但它包含了两个函数,这些函数只有在不知情的开发者在自己的项目中调用它们时,才会将助记词短语发送到Telegram机器人。
第二个伪装成Flashbots的包flashbot-sdk-eth,也被设计成触发私钥的窃取,而gram-utilz为将任意数据泄露给威胁行为者的Telegram聊天提供了模块化机制。
由于助记词短语是恢复加密货币钱包访问权限的“主钥匙”,这些单词序列的被盗可能会让威胁行为者进入受害者的钱包并完全控制他们的钱包。
源代码中存在越南语注释,这表明出于经济动机的威胁行为者可能是讲越南语的。
这些发现表明,攻击者有意识地利用与该平台相关的信任来实施软件供应链攻击,更不用说在大多是无害的代码中隐藏恶意功能以避开审查了。
“由于Flashbots被验证者、搜索者和DeFi开发者广泛信任,任何看似官方SDK的包都有很高的机会被运行交易机器人或管理热钱包的运营商采用,”Pandya指出。“在这种环境下,被入侵的私钥可能导致资金的即时、不可逆的被盗。”
“通过利用开发者对熟悉包名的信任,并在合法工具中填充恶意代码,这些包将常规的Web3开发变成了通往威胁行为者控制的Telegram机器人的直接管道。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
