Las versiones envenenadas con malware de la ampliamente utilizada biblioteca JavaScript @solana/web3.js se distribuyeron a través del registro de paquetes npm, según una alerta emitida el miércoles por el director del proyecto Steven Luscher.
La alerta, que cubre CVE-2024-54134 (CVSS-B: 8.3 High), explica que la cuenta secuestrada de @solana con permiso de Publicar Biblioteca se utilizó para agregar código malicioso.
La biblioteca suele recibir casi medio millón de descargas por semana. Se utiliza en aplicaciones descentralizadas, o dapps, vinculadas a la cadena de bloques Solana, que en sí misma no se ve afectada.
Una cuenta npm comprometida le dio a un atacante la oportunidad de «publicar paquetes maliciosos y no autorizados que se modifican, lo que les permite robar material de clave privada y desviar fondos de dapps, como bots, que manejan directamente claves privadas», decía el aviso, antes de lo cual Explicó que las billeteras sin custodia no deberían verse afectadas.
Las dos versiones afectadas (1.95.6 y 1.95.7) de la biblioteca no se han publicado desde entonces. Las dapps de Solana que descargaron la biblioteca @solana/web3.js como una dependencia directa o transitiva mientras esas versiones estaban disponibles (la ventana de 15:20 UTC a 20:25 UTC del martes 3 de diciembre de 2024) pueden haber descargado archivos maliciosos en .
Mert Mumtaz, director general de Helius Labs, que fabrica las herramientas Solana, estimó las pérdidas financieras para personas no especificadas «hasta la fecha en aproximadamente 130 mil dólares».
«En general, esto no debería afectar a las billeteras, ya que no exponen claves privadas; el mayor efecto sería en las personas que ejecutan bots JavaScript de back-end (es decir, no orientados al usuario) con claves privadas en esos servidores si actualizan a esto. versión dentro del plazo (últimas horas hasta el parche)», escribió Mumatz en una publicación en las redes sociales.
La firma de investigación y desarrollo de Solana, Anza, publicó un análisis de la causa raíz del incidente que sugiere que el ataque comenzó con el envío de un correo electrónico de phishing el martes 3 de diciembre a las 15:20 UTC a un miembro de la organización @solana npm con acceso de publicación.
Se dice que la táctica de phishing captura el nombre de usuario, la contraseña y los detalles de autenticación de dos factores de la víctima.
El análisis de Anza muestra que el ataque salió a la luz después de que «un colaborador clave de @solana/web3.js fuera alertado de un exploit por parte del equipo del ecosistema que instaló una de las versiones maliciosas en su aplicación y la implementó». Se dice que la persona afectada notó una transferencia no autorizada de fondos desde billeteras digitales no especificadas a otra cuenta.
En una publicación en las redes sociales, Christophe Tafani-Dereeper, investigador de seguridad de Datadog, escribió: «La puerta trasera insertada en v1.95.7 agrega una función ‘addToQueue’ que filtra la clave privada a través de encabezados de Cloudflare aparentemente legítimos».
Socket.dev, una empresa de seguridad de software, aconseja a los desarrolladores ejecutar su herramienta gratuita de línea de comandos para comprobar si hay paquetes comprometidos. ®
