从 UTC 9月8日 13:16 开始,一系列推送到 npm 的软件包似乎包含恶意代码,攻击非常有针对性,主要针对 web3 相关用户的大规模攻击。

请各位关注此事件,保护自己,我无法为各位提供解决办法。

该恶意代码会劫持浏览器钱包(如 MetaMask )和网络请求( fetch 和 XMLHttpRequest ),拦截 ETH 、BTC 、SOL 、TRX 等加密货币交易,通过替换目标地址将资金转移至攻击者钱包(如 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976 )

重大供应链攻击

著名开发者 qix 的 NPM 帐户遭到入侵,导致数十个软件包的恶意版本被发布,包括chalk、strip-ansi和color-convert。

攻击动作

代码首先检查是否存在(window.ethereum该对象由 MetaMask 等钱包扩展程序注入),则继续进行被动地址替换攻击。

被动地址替换

恶意脚本包含攻击者拥有的比特币 (BTC)、以太坊 (ETH)、Solana (SOL)、波场 (TRX)、莱特币 (LTC) 和比特币现金 (BCH)钱包地址,恶意代码采用了一种名为Levenshtein距离算法的复杂技术,该算法测量两个字符串之间的视觉相似度,会从列表中选一个跟目标地址更像的地址。

然后替换浏览器页面中显示的地址,当用户复制地址以后,其实复制的是攻击者的钱包地址。

主动交易劫持

如果检测到钱包,恶意软件就会启动其最危险的组件。

当用户发起交易时,恶意软件会在数据发送到钱包进行签名之前拦截数据。然后,它会修改内存中的交易,将收款人的地址替换为攻击者的钱包地址。

追踪被盗资金

由于区块链透明,我们可以监控这些欺诈性地址。以下是此次攻击中使用的主要以太坊地址之一。您可以在 Etherscan 上实时查看其活动。

攻击者的以太坊地址之一: 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976

请参阅此 GitHub Gist以获取所有钱包的列表:https://gist.github.com/jdstaerk/f845fbc1babad2b2c5af93916dd7e9fb

总结

本次攻击目标是代码维护者,从而导致整个代码库被投毒,导致全部用户被影响,作为普通用户的我们似乎无力抵抗。

保护自己

虽然部分受影响的版本目前已从 npm 中移除,但仍有一些版本可用。

每次交易一定要仔细核对钱包地址。

大额转账前先小额尝试,然后也要仔细核对地址以后再大额转账。

参考链接