A Crypto News
Crypto India
कथित तौर पर क्रिप्टो-चोरी करने वाले मैलवेयर को छिपाने के लिए एक वैध सोलाना ट्रेडिंग बॉट के रूप में एक GitHub रिपॉजिटरी को उजागर किया गया है।
एक शुक्रवार के अनुसार प्रतिवेदन ब्लॉकचेन सिक्योरिटी फर्म स्लिममिस्ट द्वारा, अब “ZLDP2002” खाते द्वारा होस्ट किए गए सोलाना-पंपफुन-बॉट रिपॉजिटरी ने उपयोगकर्ता क्रेडेंशियल्स को फसल के लिए एक वास्तविक ओपन-सोर्स टूल की नकल की। SlowMist ने कथित तौर पर एक उपयोगकर्ता के पाया जाने के बाद जांच शुरू की कि उनका धन गुरुवार को चोरी हो गया था।
दुर्भावनापूर्ण github रिपॉजिटरी स्लोमीस्ट ने कहा, “सितारों और कांटे की अपेक्षाकृत अधिक संख्या”, स्लिममिस्ट ने कहा। सभी कोड इसकी सभी निर्देशिकाओं में लगभग तीन सप्ताह पहले बनाए गए थे, स्पष्ट अनियमितताओं और सुसंगत पैटर्न की कमी के साथ, जो कि धीमी गति से, एक वैध परियोजना का संकेत देगा।
यह परियोजना नोड.जेएस-आधारित है और एक निर्भरता के रूप में तृतीय-पक्ष पैकेज क्रिप्टो-लेआउट-यूटिल्स का लाभ उठाती है। “आगे के निरीक्षण पर, हमने पाया कि इस पैकेज को पहले ही आधिकारिक एनपीएम रजिस्ट्री से हटा दिया गया था,” स्लोमीस्ट ने कहा।
संबंधित: क्रिप्टो चोरी अभियान वॉलेट क्लोन के साथ फ़ायरफ़ॉक्स उपयोगकर्ताओं को हिट करता है
एक संदिग्ध एनपीएम पैकेज
पैकेज को अब आधिकारिक नोड पैकेज मैनेजर (एनपीएम) रजिस्ट्री से डाउनलोड नहीं किया जा सकता है, जिससे जांचकर्ताओं ने यह सवाल किया कि पीड़ित ने पैकेज कैसे डाउनलोड किया था। आगे की जांच करते हुए, स्लोमीस्ट ने पाया कि हमलावर एक अलग GitHub रिपॉजिटरी से लाइब्रेरी डाउनलोड कर रहा था।
पैकेज का विश्लेषण करने के बाद, धीमी गति से शोधकर्ताओं ने पाया कि यह jsjiami.com.v7 का उपयोग करके बहुत अधिक है, जिससे विश्लेषण कठिन हो गया। डी-ऑबफ्यूसेशन के बाद, जांचकर्ताओं ने पुष्टि की कि यह एक दुर्भावनापूर्ण पैकेज था जो स्थानीय फ़ाइलों को स्कैन करता है, और यदि यह वॉलेट से संबंधित सामग्री या निजी कुंजी का पता लगाता है, तो यह उन्हें एक दूरस्थ सर्वर पर अपलोड करेगा।
संबंधित: उत्तर कोरियाई हैकर्स असामान्य मैक शोषण के साथ क्रिप्टो परियोजनाओं को लक्षित करते हैं
एक से अधिक एक रिपॉजिटरी
स्लोमीस्ट द्वारा आगे की जांच से पता चला कि हमलावर ने GitHub खातों के एक बैच को नियंत्रित किया। इन खातों का उपयोग प्रोजेक्ट्स को दुर्भावनापूर्ण विविधताओं में फोर्क करने के लिए किया गया था, जो कि कांटा और स्टार काउंट्स को कृत्रिम रूप से फुलाए जाने के दौरान मैलवेयर का वितरण करते थे।
कई फोर्केड रिपॉजिटरी ने इसी तरह की विशेषताओं का प्रदर्शन किया, जिसमें कुछ संस्करणों में एक और दुर्भावनापूर्ण पैकेज, BS58-ANCRYPT-UTILS-1.0.3 शामिल हैं। यह पैकेज 12 जून को बनाया गया था, जब स्लोमीस्ट शोधकर्ताओं ने कहा कि उनका मानना है कि हमलावर ने दुर्भावनापूर्ण एनपीएम मॉड्यूल और नोड.जेएस परियोजनाओं को वितरित करना शुरू किया।
यह घटना क्रिप्टो उपयोगकर्ताओं को लक्षित करने वाले सॉफ्टवेयर आपूर्ति श्रृंखला हमलों की एक स्ट्रिंग में नवीनतम है। हाल के हफ्तों में, इसी तरह की योजनाओं ने फ़ायरफ़ॉक्स उपयोगकर्ताओं को नकली वॉलेट एक्सटेंशन के साथ लक्षित किया है और क्रेडेंशियल-स्टीयलिंग कोड की मेजबानी करने के लिए GitHub रिपॉजिटरी का उपयोग किया है।
पत्रिका: अजीब ‘अशक्त पता’ ivest हैक, लाखों पीसी अभी भी ‘सिंकक्लोज’ मैलवेयर के लिए असुरक्षित हैं: क्रिप्टो-सेक
