SBOM情报预警 | 恶意NPM组件窃取Solana智能合约私钥

打印 上一主题 下一主题

主题 1013|帖子 1013|积分 3039

近日(2025.02.15 ~ 2025.02.19),悬镜供应链安全情报中心在NPM官方堆栈(www.npmjs.com)中捕获多起针对Windows、Linux及Mac平台Solana智能合约用户开展合约私钥窃取的NodeJs组件投毒变乱。投毒者(satoshinana11)在npmjs官方源上连续投放4个伪装成Solana智能合约SDK的NPM恶意组件包,并利用代码肴杂技能对抗静态安全检测,已有多名NodeJs开辟者受到投毒攻击导致合约私钥泄露。
截至现在,这些恶意组件仍正常托管在NPM官方源及国内各大主流镜像源,对于NPM开辟者来说存在较大安全隐患。悬镜安全已于第一时间将该系列恶意投毒包的具体技能分析向XSBOM供应链安全情报订阅用户进行推送预警。


solana合约窃密恶意组件列表

根据NPM官方接口统计,该系列Solana合约私钥窃密投毒组件近一个月的总下载量约为455次。


恶意组件月度下载量

投毒分析
Poisoning Analysis
以 serum-anchor-wallet 恶意组件为例,该系列恶意组件将投毒代码经过肴杂后嵌入到lib/app.js 代码文件中,并伪装成Solana智能合约SDK。




恶意NPM包 serum-anchor-wallet

1
代码肴杂

组件主模块入口 index.js 及 lib/app.js 代码文件如下所示,index.js 负责加载并实行 lib/app.js 文件中的肴杂代码。



投毒组件恶意模块代码

对恶意代码文件 lib/app.js 肴杂代码进行解码还原后如下所示,其主要功能是调用 child_process 模块读取体系剪切板中缓存的Solana智能合约私钥,并通过 ioredis 模块将窃取的私钥存储到投毒者控制的redis服务中。



恶意文件 app.js 肴杂代码还原
2
合约私钥盗取

getQuryResult() 函数中负责针对Windows、MacOS以及Linux体系分别调用外部体系命令powershell Get-Clipboard、pbpaste和xclip读取剪切板数据。恶意代码通过设置定时器,每隔1秒钟调用 getQuryResult() 函数对剪切板进行实时监控。窃取的剪切板数据会进一步利用 isValidSolanaPrivateKey() 函数筛选出Solana智能合约私钥数据。



体系剪切板数据窃取
3
合约私钥外传
投毒代码一旦监控捕获到剪切板中的Solana智能合约私钥,会立刻通过 ioredis 模块将私钥数据外传投递到投毒者控制的redis服务器(redis-12193.c259.us-central1-2.gce.redns.redis-cloud.com:12193)。


体系剪切板数据外传
投毒者控制的redis服务器解析IP地点为 34.28.66.214,利用密码可远程毗连投毒者redis服务器,并发现多名受害者的合约私钥数据已被窃取。


投毒者redis服务器IP地点


投毒者redis服务器数据


受害者合约私钥数据
4
IoC 数据

本次捕获的Solana合约窃密系列NPM投毒组件包涉及的IoC数据如下表所示:



排查方式
Investigation Method
以 serum-anchor-wallet 恶意组件为例,开辟者可通过命令 npm list serum-anchor-wallet 在项目目录下使用查询是否已安装存在恶意投毒的组件版本,假如已安装请立刻使用 npm uninstall serum-anchor-wallet 进行卸载。别的还需关闭体系网络并排查体系是否存在异常进程。
别的,也可使用 OpenSCA-cli 工具将受影响的组件包按如下示例保存为db.json文件,直接实行扫描命令(opensca-cli -db db.json -path ${project_path}),即可快速获知您的项目是否受到投毒包影响。
  1. [     {         "product": "serum-anchor-wallet",         "version": "[1.0.2, 1.0.3]",         "language": "javascript",         "id": "XMIRROR-MAL45-ED7D46DA",         "description": "恶意NPM组件窃取Solana智能合约私钥",         "release_date": "2025-02-18"     },  {         "product": "raydium-sdk-liquidity-init",         "version": "[1.0.2]",         "language": "javascript",         "id": "XMIRROR-MAL45-CAEF758A",         "description": "恶意NPM组件窃取Solana智能合约私钥",         "release_date": "2025-02-15"     },  {         "product": "gas-fee-saver",         "version": "[1.0.0, 1.0.1, 1.0.2]",         "language": "javascript",         "id": "XMIRROR-MAL45-A80F5C57",         "description": "恶意NPM组件窃取Solana智能合约私钥",         "release_date": "2025-02-13"     },  {         "product": "cors_error_preventor",         "version": "[1.0.0]",         "language": "javascript",         "id": "XMIRROR-MAL45-CC46FBC5",         "description": "恶意NPM组件窃取Solana智能合约私钥",         "release_date": "2025-02-12"     }]
复制代码
悬镜供应链安全情报中心是国内首个数字供应链安全情报研究中心。依托悬镜安全团队强大的供应链SBOM管理与监测本领和AI安全大数据云端分析本领,悬镜云脉XSBOM数字供应链安全情报预警服务通过对全球数字供应链投毒情报、漏洞情报、停服断供情报等进行实时动态监测与溯源分析,可为用户智能精准预警“与我有关”的数字供应链安全情报,提供情报查询、情报订阅、可视化关联分析等企业级服务。

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览

快速回复

您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

西河刘卡车医

论坛元老
这个人很懒什么都没写!
快速回复 返回顶部 返回列表