Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Free

Kritische Sicherheitslücke in Solana Web3.js enthüllt : Angriff auf npm-Bibliothek @solana/web3.js entdeckt

Cybersecurity-Experten haben einen Angriff auf die Software-Lieferkette der beliebten npm-Bibliothek @solana/web3.js entdeckt. Dabei wurden zwei bösartige Versionen in Umlauf gebracht, die in der Lage sind, private Schlüssel der Nutzer auszuspionieren, um deren Kryptowährungs-Wallets zu leeren.

Lesezeit 3 Min.

Der Angriff wurde in den Versionen 1.95.6 und 1.95.7 der npm-Bibliothek @solana/web3.js entdeckt. Diese Versionen sind inzwischen aus der npm-Registry entfernt worden. Das Paket ist weitverbreitet und wird wöchentlich über 400.000 Mal heruntergeladen.

Laut einem Bericht von Socket enthielten die kompromittierten Versionen bösartigen Code, der darauf abzielte, private Schlüssel von Entwicklern und Nutzern zu stehlen. Mit diesen gestohlenen Schlüsseln könnten Angreifer Kryptowährungs-Wallets plündern.

@solana/web3.js ist ein npm-Paket, das für die Interaktion mit dem Solana JavaScript Software Development Kit (SDK) genutzt wird. Es wird häufig für die Entwicklung von Node.js- und Webanwendungen eingesetzt.

Laut dem Datadog-Sicherheitsforscher Christophe Tafani-Dereeper fügt die in Version 1.95.7 eingebaute Hintertür eine Funktion namens „addToQueue“ hinzu. Diese Funktion nutzt scheinbar legitime CloudFlare-Header, um private Schlüssel unbemerkt auszuspähen und zu übertragen. Anschließend wird diese Funktion an verschiedenen Stellen im Code eingebaut, wo sie auf den privaten Schlüssel zugreifen kann, was auf den ersten Blick wie ein legitimer Vorgang wirkt.

Die gestohlenen Schlüssel wurden an einen Command-and-Control-Server (C2) mit der Adresse „sol-rpc[.]xyz“ gesendet. Dieser Server ist aktuell nicht mehr erreichbar. Die dazugehörige Domain wurde am 22. November 2024 über den Anbieter NameSilo registriert.

Phishing als Initialangriff

Es wird angenommen, dass die Verantwortlichen des npm-Pakets @solana/web3.js Opfer eines Phishing-Angriffs wurden. Dadurch konnten die Angreifer die Kontrolle über die Konten übernehmen und bösartige Versionen des Pakets veröffentlichen. Steven Luscher, einer der Entwickler der Bibliothek, erklärt in den Hinweisen zur Version 1.95.8, dass ein Account, der für die Veröffentlichung von @solana/web3.js genutzt wird, gehackt wurde. Dabei handelt es sich um eine JavaScript-Bibliothek, die oft von Solana-dApps verwendet wird. Dadurch konnten die Angreifer schädliche Pakete hochladen, die so verändert waren, dass sie private Schlüssel stehlen konnten. Mit diesen gestohlenen Schlüsseln zogen die Angreifer Gelder aus dApps ab, vor allem bei Bots, die direkt mit privaten Schlüsseln arbeiten. Wallets, die keine privaten Schlüssel offenlegen, sind wahrscheinlich nicht betroffen.

Luscher betont außerdem, dass nur Projekte gefährdet sind, die direkt mit privaten Schlüsseln arbeiten und das Paket innerhalb des kurzen Zeitfensters vom 2. Dezember 2024 zwischen 15:20 Uhr UTC und 20:25 Uhr UTC aktualisiert haben.

Entwicklern, die @solana/web3.js nutzen, wird dringend empfohlen, sofort auf die neueste Version zu aktualisieren. Falls ein Verdacht auf eine Kompromittierung besteht, sollten zudem alle Autoritätsschlüssel sicherheitshalber erneuert werden.

Weitere npm-Pakete von Angriffen betroffen

Die Enthüllung des Angriffs auf @solana/web3.js kam nur wenige Tage nach einem weiteren alarmierenden Vorfall: Das gefälschte npm-Paket solana-systemprogram-utils wurde entdeckt, das Gelder bei zwei Prozent aller Transaktionen heimlich an eine fest codierte Wallet-Adresse der Angreifer weiterleitete. Das perfide daran? „Der Code tarnt seine Absicht meisterhaft, indem er in 98 Prozent der Fälle völlig normal funktioniert“, so das Socket Research Team. „Dadurch bleibt der Angriff weitgehend unbemerkt, während die Angreifer dennoch beträchtliche Summen abschöpfen können.“

Doch das war nur die Spitze des Eisbergs. Weitere schädliche npm-Pakete wie crypto-keccak, crypto-jsonwebtoken und crypto-bignumber täuschten Entwickler, indem sie sich als seriöse Bibliotheken ausgaben, tatsächlich jedoch darauf abzielten, Anmeldeinformationen und Wallet-Daten zu stehlen. Diese Entdeckungen zeigen, wie geschickt Cyberkriminelle das Vertrauen in das Open-Source-Ökosystem ausnutzen.

Sicherheitsexperte Kirill Boychenko warnt eindringlich: „Diese Malware bedroht nicht nur einzelne Entwickler, indem sie ihre Zugangsdaten und Kryptowährungs-Wallets angreift. Sie kann auch in Unternehmensumgebungen katastrophale Folgen haben, indem sie Schwachstellen schafft, die Angreifer für umfassende und systematische Angriffe ausnutzen.“

Diesen Beitrag teilen: