一次软件供应链攻击导致在 npm 注册表上发布了恶意版本的 Solana web3.js 库。
与最近发生的 Lottie Player 供应链泄露事件一样,这次攻击据说也是由于 npm.js 账户凭据被泄露(钓鱼)而导致的。
发生了什么?
“今天早些时候,@solana/web3.js 的一个发布访问账户被入侵,这是 Solana [去中心化应用程序] 常用的 JavaScript 库。这使得攻击者可以发布未经授权和恶意修改的软件包,从而窃取私钥材料,并从直接处理私钥的 dapp(如机器人)中抽走资金,”该库的维护者之一 Steven Luscher 周二证实。
“这不是 Solana 协议本身的问题,而是特定 JavaScript 客户端库的问题,而且似乎只影响直接处理私钥的项目,以及在 2024 年 12 月 2 日星期二下午 3:20 UTC 和晚上 8:25 UTC 窗口内更新的项目。”
该库的 1.95.6 和 1.95.7 版本已受到攻击,并已 “解除发布”。1.95.8版本是Solana应用程序开发人员被要求升级到的 “干净 ”版本。
Luscher 总结说:“开发人员如果怀疑自己的密钥可能被泄露,应该轮换任何可疑的授权密钥,包括多重加密、程序授权、服务器密钥对等。”
影响
SaaS云监控公司Datadog的安全研究员Christophe Tafani-Dereeper解释了被入侵的库版本中注入的恶意代码是如何通过CloudFlare标头渗出私钥的。
Helius 首席执行官默特-蒙塔兹(Mert Mumtaz)表示,这次攻击的影响尚未显现,不过看起来主要的钱包和应用程序都没有受到影响。
他说:“一般来说,钱包应该不会受到影响,因为它们不会暴露私钥–最大的影响是在后台(即不面向用户)运行JS机器人的人,如果他们在规定时间内(补丁发布前的最后几个小时)更新到这个版本,那么这些服务器上的私钥**会受到影响。”
“如果您是 Solana 开发人员,请立即检查您的软件包,确保现在或将来都不会使用这些版本,尤其是检查任何自动化程序。”
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容