Hackers usam pacotes npm para roubo de chaves Solana

Imagem do autor do SempreUpdate Jardeson Márcio
Escrito por
Jardeson Márcio
Jardeson é Jornalista, Mestre em Tecnologia Agroalimentar e Licenciado em Ciências Agrária pela Universidade Federal da Paraíba. Entusiasta no mundo tecnológico, gosta de arquitetura e design...

Pesquisadores de segurança cibernética revelaram um esquema sofisticado envolvendo pacotes npm e PyPI maliciosos, projetados para roubar dados sensíveis e comprometer carteiras da blockchain Solana. Esses pacotes apresentam funcionalidades que vão desde a interceptação de chaves privadas até a exclusão de arquivos em sistemas infectados, destacando a crescente ameaça aos desenvolvedores e usuários de criptomoedas.

Hackers usam pacotes npm para roubo de chaves Solana

Bibliotecas maliciosas npm

Entre os pacotes maliciosos descobertos, destacam-se:

  • @async-mutex/mutex: um typosquat do pacote legítimo async-mute.
  • dexscreener: finge ser uma biblioteca para acessar dados de bolsas descentralizadas (DEXs).
  • solana-transaction-toolkit e solana-stable-web-huks: transferem automaticamente até 98% dos fundos das carteiras comprometidas.
  • cschokidar-next, achokidar-next, chalk-next, csbchalk-next e cschalk: variantes maliciosas de pacotes legítimos como chokidar e chalk.
  • pycord-self: captura tokens de autenticação do Discord.

Esses pacotes, além de roubarem informações, incluem funções como exclusão de dados e envio de variáveis de ambiente para servidores remotos controlados por hackers.

Roubo de chaves Solana via Gmail SMTP

Os pacotes solana-transaction-toolkit e solana-stable-web-huks são os mais preocupantes, pois interceptam chaves privadas da Solana e as transmitem por meio do Gmail SMTP. Esse método é eficaz porque servidores de e-mail do Gmail frequentemente passam despercebidos por sistemas de firewall e detecção.

Além disso, esses pacotes programaticamente esvaziam as carteiras das vítimas, enviando os fundos para endereços Solana controlados pelos invasores. Segundo o pesquisador Kirill Boychenko, “o uso de serviços confiáveis como o Gmail dificulta a detecção por firewalls”.

Integração com repositórios GitHub

Os atacantes também criaram repositórios no GitHub para atrair desenvolvedores. Projetos como “moonshot-wif-hwan/pumpfun-bump-script-bot” alegavam oferecer ferramentas para automação de fluxos DeFi, mas importavam os pacotes maliciosos, ampliando o alcance da campanha.

Embora as contas relacionadas a esses repositórios tenham sido removidas, os danos causados pela disseminação inicial continuam sendo motivo de preocupação.

Funções de “Kill Switch” e outros ataques

Outro aspecto alarmante envolve pacotes como csbchalk-next, que incorporam uma função de “kill switch” capaz de apagar arquivos inteiros de diretórios críticos, além de exfiltrar dados sensíveis. A operação só é acionada após o pacote receber um código específico do servidor remoto, demonstrando a sofisticação do ataque.

Alvo: desenvolvedores de criptomoedas e APIs

No caso de pycord-self, os desenvolvedores Python são os principais alvos. O pacote captura tokens de autenticação do Discord, permitindo aos invasores criar backdoors persistentes em sistemas Windows e Linux.

Tendências crescentes de ataques em repositórios

Os ataques a plataformas como npm e PyPI não são novos. No ano passado, jogadores do Roblox também foram alvos de pacotes PyPI fraudulentos que utilizavam malware como Skuld e Blank-Grabber. Esses ataques exploram a confiança dos usuários em repositórios legítimos, tornando essencial a verificação rigorosa de pacotes antes da instalação.

Conclusão

Com a crescente adoção de tecnologias blockchain e a dependência de bibliotecas de código aberto, é crucial que desenvolvedores adotem práticas rigorosas de segurança. Verificar assinaturas digitais, monitorar dependências e usar ferramentas de análise de código são passos fundamentais para mitigar riscos em um cenário de ameaças cada vez mais sofisticado.

Compartilhe este artigo