超千次下载：20 个恶意 npm 包伪装成以太坊开发工具 Hardhat 窃取敏感信息

近日，科技媒体bleepingcomputer报导称，安全研究员发现，某些不法分子正利用与以太坊开发工具Hardhat极为相似的恶意软件包，以获取开发者的私钥和其他敏感数据。

Hardhat是由Nomic基金会维护的以太坊开发环境，被广泛运用于智能合约和去中心化应用（dApps）的开发、测试和部署中。该工具主要服务对象为区块链软件开发者、金融科技公司、初创企业和教育机构。

这些用户通常通过npm（Node Package Manager）获取项目组件。npm是JavaScript生态系统中常用的工具，可帮助开发者管理依赖项、库和模块。

据报道，攻击者在npm上创建了三个恶意账户，并上传了总计20个可窃取信息的软件包，记录显示这些软件包共被下载1000多次。这些恶意软件包使用"域名抢注"（typosquatting）的手法，模仿合法软件包的名称，诱使用户安装。

以下是Socket分享的16个被认定为恶意的程序包名称：

• nomicsfoundations

• @nomisfoundation/hardhat-configure

• installedpackagepublish

• @nomisfoundation/hardhat-config

• @monicfoundation/hardhat-config

• @nomicsfoundation/sdk-test

• @nomicsfoundation/hardhat-config

• @nomicsfoundation/web3-sdk

• @nomicsfoundation/sdk-test1

• @nomicfoundations/hardhat-config

• crypto-nodes-validator

• solana-validator

• node-validators

• hardhat-deploy-others

• hardhat-gas-optimizer

• solidity-comments-extractors

据悉，一旦用户安装这些恶意软件包，其中的代码将试图窃取Hardhat私钥、配置文件和助记词（mnemonics，用于访问以太坊钱包），然后使用硬编码的AES密钥对其进行加密，并将其发送至攻击者控制的端点。

Socket公司解释称：“这些软件包利用hreInit()和hreConfig()等函数，从Hardhat运行时环境中收集私钥、助记词和配置文件等敏感信息。收集的数据将通过硬编码的密钥和以太坊地址传送至攻击者控制的端点。”

由于许多被感染的系统属于开发者，攻击者或许可以未经授权地访问生产系统，从而破坏智能合约或部署受影响dApp的恶意克隆版本，为规模更大、影响更深的攻击打下基础。

广告声明：文内包含的外部链接（包括但不限于超链接、二维码和口令等形式）旨在提供更多信息，节省筛选时间，结果仅供参考。