详细内容或原文请订阅后点击阅览
Solana 区块链的流行 web3.js npm 包被植入后门,用于窃取密钥和资金
损害可能仅限于那些运行具有私钥访问权限的机器人根据项目维护者 Steven Luscher 周三发布的公告,广泛使用的 JavaScript 库 @solana/web3.js 的恶意软件中毒版本通过 npm 包注册表分发。
来源:The Register _恶意软件根据项目维护者 Steven Luscher 周三发布的公告,广泛使用的 JavaScript 库 @solana/web3.js 的恶意软件中毒版本通过 npm 包注册表分发。
一份涵盖 CVE-2024-54134(CVSS-B:8.3 高)的公告解释说,一个被劫持的 @solana 帐户被使用来添加恶意代码,该帐户具有发布库的权限。
公告 CVE-2024-54134该库通常每周下载量接近 50 万次。它用于与 Solana 区块链绑定的去中心化应用程序或 dapps,而 Solana 区块链本身不受影响。
库 用于 dapps被入侵的 npm 帐户让攻击者有机会“发布未经授权的恶意软件包,这些软件包已被修改,允许他们窃取私钥材料并从直接处理私钥的 dapp(如机器人)中抽取资金”,该公告指出,然后解释说非托管钱包不应受到影响。
公告受影响的两个库版本(1.95.6 和 1.95.7)此后已取消发布。当这些版本可用时(从 UTC 时间 2024 年 12 月 3 日星期二下午 3:20 到 UTC 时间晚上 8:25),将 @solana/web3.js 库作为直接或传递依赖项获取的 Solana dapps 可能已下载恶意代码。
开发 Solana 工具的 Helius Labs 首席执行官 Mert Mumtaz 估计,未指明人员的财务损失“目前约为 13 万美元”。
“一般来说,钱包不会受到影响,因为它们不会暴露私钥——如果人们在规定时间内(补丁发布前的最后几个小时)更新到此版本,那么受影响最大的将是那些在后端(即不面向用户)使用私钥运行 JavaScript 机器人的人,”Mumatz 在社交媒体帖子中写道。
帖子Solana 研发公司 Anza 发布了该事件的根本原因分析,表明攻击始于 12 月 3 日星期二 UTC 时间 15:20 向具有发布权限的 @solana npm org 成员发送的鱼叉式网络钓鱼电子邮件。
帖子 建议