IT之家1 月 4 日消息，科技媒體 bleepingcomputer 昨日（1 月 3 日）發(fā)布博文，報(bào)道稱(chēng)安全研究人員發(fā)現(xiàn)，有不法分子利用名稱(chēng)高度相似的惡意軟件包，假冒以太坊開(kāi)發(fā)工具 Hardhat，竊取開(kāi)發(fā)者的私鑰和其他敏感數(shù)據(jù)。

Hardhat 是由 Nomic 基金會(huì)維護(hù)的以太坊開(kāi)發(fā)環(huán)境，廣泛用于開(kāi)發(fā)、測(cè)試和部署智能合約及去中心化應(yīng)用（dApps），區(qū)塊鏈軟件開(kāi)發(fā)者、金融科技公司和初創(chuàng)企業(yè)以及教育機(jī)構(gòu)是其主要用戶(hù)。

這些用戶(hù)通常從 npm（Node Package Manager）獲取項(xiàng)目組件，npm 是 JavaScript 生態(tài)系統(tǒng)中廣泛使用的工具，可幫助開(kāi)發(fā)者管理依賴(lài)項(xiàng)、庫(kù)和模塊。

攻擊者在 npm 上創(chuàng)建了三個(gè)惡意賬戶(hù)，上傳了 20 個(gè)竊取信息的軟件包, 總共記錄了 1000 多次下載。這些軟件包使用“域名搶注”（typosquatting）的方式，模仿合法軟件包的名稱(chēng)，誘騙用戶(hù)安裝。

IT之家附上 Socket 分享的 16 個(gè)惡意程序包的名稱(chēng)如下：

• nomicsfoundations

• @nomisfoundation/hardhat-configure

• installedpackagepublish

• @nomisfoundation/hardhat-config

• @monicfoundation/hardhat-config

• @nomicsfoundation/sdk-test

• @nomicsfoundation/hardhat-config

• @nomicsfoundation/web3-sdk

• @nomicsfoundation/sdk-test1

• @nomicfoundations/hardhat-config

• crypto-nodes-validator

• solana-validator

• node-validators

• hardhat-deploy-others

• hardhat-gas-optimizer

• solidity-comments-extractors

用戶(hù)一旦安裝，這些惡意軟件包中的代碼就會(huì)嘗試收集 Hardhat 私鑰、配置文件和助記詞（mnemonics，用于訪問(wèn)以太坊錢(qián)包），使用硬編碼的 AES 密鑰對(duì)其進(jìn)行加密，然后將其發(fā)送到攻擊者控制的端點(diǎn)。

Socket 公司解釋說(shuō)：“這些軟件包利用 hreInit () 和 hreConfig () 等函數(shù)，從 Hardhat 運(yùn)行時(shí)環(huán)境中收集私鑰、助記詞和配置文件等敏感信息。收集到的數(shù)據(jù)通過(guò)硬編碼的密鑰和以太坊地址傳輸?shù)焦粽呖刂频亩它c(diǎn)。”

由于許多受感染的系統(tǒng)屬于開(kāi)發(fā)者，攻擊者可能獲得對(duì)生產(chǎn)系統(tǒng)的未授權(quán)訪問(wèn)權(quán)限，從而破壞智能合約或部署現(xiàn)有 dApp 的惡意克隆版本，為更大規(guī)模、更具影響力的攻擊奠定基礎(chǔ)。