MÜNCHEN (IT BOLTWISE) – Eine schwerwiegende Sicherheitslücke in der beliebten JavaScript-Bibliothek @solana/web3.js hat die Entwicklergemeinschaft alarmiert. Diese Bibliothek, die häufig für die Entwicklung von Node.js- und Webanwendungen im Solana-Ökosystem genutzt wird, war Ziel eines Software-Lieferkettenangriffs.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
Die Entdeckung einer Hintertür in der weit verbreiteten @solana/web3.js npm-Bibliothek hat die Entwicklergemeinschaft aufgeschreckt. Diese Bibliothek, die für die Interaktion mit dem Solana JavaScript SDK verwendet wird, war Ziel eines Angriffs, bei dem zwei bösartige Versionen veröffentlicht wurden. Diese Versionen, 1.95.6 und 1.95.7, enthielten schädlichen Code, der darauf abzielte, private Schlüssel von Nutzern zu stehlen und deren Kryptowährungs-Wallets zu leeren.
Der Angriff wurde von Sicherheitsforschern entdeckt, die darauf hinwiesen, dass die kompromittierten Versionen nicht mehr im npm-Registry verfügbar sind. Die Bibliothek erfreut sich großer Beliebtheit und wird wöchentlich über 400.000 Mal heruntergeladen. Laut einem Bericht von Socket wurde der bösartige Code so injiziert, dass er private Schlüssel von ahnungslosen Entwicklern und Nutzern stiehlt, was Angreifern potenziell ermöglicht, Kryptowährungs-Wallets zu leeren.
Christophe Tafani-Dereeper, ein Sicherheitsforscher bei Datadog, erklärte, dass die Hintertür in Version 1.95.7 eine Funktion namens ‚addToQueue‘ hinzufügt, die den privaten Schlüssel über scheinbar legitime CloudFlare-Header exfiltriert. Diese Funktion wird an verschiedenen Stellen eingefügt, die legitimerweise auf den privaten Schlüssel zugreifen. Der Command-and-Control-Server, an den die Schlüssel exfiltriert werden („sol-rpc[.]xyz“), ist derzeit offline.
Es wird vermutet, dass die Maintainer des npm-Pakets Opfer eines Phishing-Angriffs wurden, der es den Angreifern ermöglichte, die Kontrolle über die Konten zu übernehmen und die bösartigen Versionen zu veröffentlichen. Steven Luscher, einer der Maintainer der Bibliothek, erklärte in den Release Notes für Version 1.95.8, dass ein Konto mit Veröffentlichungszugriff kompromittiert wurde, was es einem Angreifer ermöglichte, unautorisierte und bösartige Pakete zu veröffentlichen.
Diese Pakete wurden so modifiziert, dass sie private Schlüsselmaterial stehlen und Gelder von dApps abziehen können, die private Schlüssel direkt verarbeiten. Luscher betonte, dass das Problem keine Auswirkungen auf nicht-kustodiale Wallets haben sollte, da diese in der Regel keine privaten Schlüssel während Transaktionen offenlegen. Die betroffenen Projekte sind solche, die private Schlüssel direkt verarbeiten und zwischen 15:20 Uhr UTC und 20:25 Uhr UTC am 2. Dezember 2024 aktualisiert wurden.
Benutzern, die @solana/web3.js als Abhängigkeit verwenden, wird dringend empfohlen, so schnell wie möglich auf die neueste Version zu aktualisieren und gegebenenfalls ihre Autoritätsschlüssel zu rotieren, falls sie vermuten, dass sie kompromittiert wurden. Diese Enthüllung erfolgt nur wenige Tage, nachdem Socket vor einem gefälschten Solana-Themen-npm-Paket namens solana-systemprogram-utils gewarnt hatte, das heimlich die Gelder eines Nutzers in 2% der Transaktionen an eine von Angreifern kontrollierte Wallet-Adresse umleitet.
Der Code tarnt seine Absicht geschickt, indem er 98% der Zeit normal funktioniert, so das Socket Research Team. Diese Gestaltung minimiert den Verdacht, während sie dem Angreifer dennoch ermöglicht, Gelder abzuziehen. Dies folgt auf die Entdeckung von npm-Paketen wie crypto-keccak, crypto-jsonwebtoken und crypto-bignumber, die sich als legitime Bibliotheken ausgeben, aber Code enthalten, um Anmeldeinformationen und Kryptowährungs-Wallet-Daten abzuziehen. Dies unterstreicht erneut, wie Bedrohungsakteure weiterhin das Vertrauen der Entwickler in das Open-Source-Ökosystem missbrauchen.
Der Malware-Angriff bedroht einzelne Entwickler, indem er ihre Anmeldeinformationen und Wallet-Daten stiehlt, was zu direkten finanziellen Verlusten führen kann. Für Organisationen schaffen kompromittierte Systeme Schwachstellen, die sich über Unternehmensumgebungen ausbreiten können und eine weitreichende Ausnutzung ermöglichen, so der Sicherheitsforscher Kirill Boychenko.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.