Solana JavaScript SDK遭供应链攻击,恶意代码窃取加密货币私钥
发布时间 2024-12-061. Solana JavaScript SDK遭供应链攻击,恶意代码窃取加密货币私钥
12月4日,Solana的JavaScript SDK“@solana/web3.js”在近期的一次供应链攻击中遭到暂时入侵,攻击者发布了两个包含恶意代码的后门版本(1.95.6和1.95.7),旨在窃取加密货币私钥并掏空钱包。这些被入侵的版本在npm上每周下载量超过350,000次,对开发人员和用户构成了严重威胁。Solana证实了这一漏洞,并表示是由于其发布访问账户被入侵所致。攻击者通过修改库中的关键函数,将恶意代码添加到库中,以窃取私钥并将其发送到攻击者的服务器。据DataDog研究员称,威胁行为者添加了一个恶意的“addToQueue”函数,该函数通过看似合法的CloudFlare标头泄露私钥。此次攻击已追溯到特定的Solana地址,该地址包含多种加密货币和NFT,估计价值为184,000美元。Solana警告怀疑自己受到攻击的开发人员立即升级到最新的v1.95.8版本并轮换所有密钥,同时建议钱包被盗的人立即将剩余资金转移到新钱包,并停止使用旧钱包。
https://www.bleepingcomputer.com/news/security/solana-web3js-library-backdoored-to-steal-secret-private-keys/
2. 俄罗斯黑客劫持巴基斯坦黑客服务器进行攻击
12月4日,俄罗斯网络间谍组织Turla,又名“秘密暴雪”,近期采取了一种新的攻击策略,即攻击并劫持其他黑客组织的基础设施,以秘密入侵已经受到攻击的网络。该组织成功劫持了巴基斯坦黑客组织Storm-0156的基础设施,并利用其访问了Storm-0156曾入侵过的阿富汗和印度政府组织网络,部署了恶意软件工具。据Lumen的Black Lotus实验室报告,Turla自2022年12月开始进行此次行动,并一直持续至2023年。Turla是一个受俄罗斯政府支持的黑客组织,长期针对全球政府、组织和研究机构进行网络间谍活动。此次,他们在Storm-0156的网络中发现了奇怪的网络行为,并成功攻破其多个C2节点,部署了包括TinyTurla后门变种、TwoDash后门等在内的恶意软件。除了获取Storm-0156的恶意软件工具和被盗数据外,Turla还进一步将目标对准了Storm-0156本身,横向进入了其工作站。Turla的这种策略使他们能够秘密收集情报,避免暴露自己或工具集,从而简化归因工作。
https://www.bleepingcomputer.com/news/security/russian-turla-hackers-hijack-pakistani-apt-servers-for-cyber-espionage-attacks/
3. 哥斯达黎加RECOPE公司遭勒索软件攻击引发燃料供应担忧
12月4日,哥斯达黎加石油炼制公司(RECOPE)近期遭到勒索软件攻击,导致其运营受到影响,并引发公众对可能出现燃料短缺的担忧。该事件于11月27日被发现,迫使RECOPE实施手动流程,数字支付系统受阻,燃料分配也受到影响。RECOPE负责管理全国燃料进口、提炼和分配,包括重要管道,此次攻击对其运营带来了挑战,尤其是在油罐车燃料码头。尽管RECOPE确认燃料储备充足,但公众担忧导致燃料销售激增,公司不得不延长运营时间。在美国网络安全专家的协助下,RECOPE已开始部分恢复系统,但在全面恢复前需确保基础设施安全。这一事件是针对哥斯达黎加关键基础设施网络攻击趋势的延续,之前Conti勒索软件组织已发动过类似攻击,导致基本服务瘫痪,迫使总统宣布紧急状态并获得美国援助。尽管有关部门否认更多攻击的谣言,但RECOPE事件凸显了关键基础设施易受网络威胁的现状,相关部门将积极参与支持其恢复工作。
https://securityonline.info/recope-costa-ricas-state-owned-energy-provider-grapples-with-ransomware-attack-and-fuel-supply-disruption/
4. 罗马尼亚选举系统遭受超过 85,000 次网络攻击
12月5日,罗马尼亚情报局的一份解密报告指出,该国选举基础设施在总统选举期间遭受了超过85,000次网络攻击,攻击源自33个国家。攻击者入侵了一台包含地图数据的服务器,并泄露了与选举相关的网站的账户凭证在俄罗斯黑客论坛上。这些攻击持续到第一轮总统选举后的第二天,目标包括破坏选举基础设施、更改公众选举信息和拒绝访问系统。罗马尼亚情报机构警告称,选举基础设施仍存在漏洞,可能会被利用进行网络横向移动和建立持久性。此外,报告还指出,超过100名罗马尼亚TikTok影响者被操纵来分发宣传总统候选人卡林·乔治斯库的选举内容,这些账户在选举日前两周变得非常活跃,其中一些账户甚至从2016年创建但直到近期才开始活跃。罗马尼亚对外情报局指出,俄罗斯近期有干涉其他国家选举的历史,并将罗马尼亚视为敌国,因为罗马尼亚允许北约在北约东部驻军。
https://www.bleepingcomputer.com/news/security/romanias-election-systems-targeted-in-over-85-000-cyberattacks/
5. 勒索软件组织Brain Cipher声称入侵德勤英国
12月4日,臭名昭著的勒索软件组织Brain Cipher声称已成功入侵德勤英国公司,并窃取了超过1TB的敏感数据。该组织于2024年6月出现,曾对全球多个组织进行网络攻击,包括对印度尼西亚国家数据中心的重大攻击。据Brain Cipher发布的声明,此次攻击暴露了德勤英国网络安全基础设施的漏洞。他们计划发布此次入侵的详细信息,包括涉嫌违反安全协议的证据、德勤与客户之间的合同协议分析、监控系统和安全工具的详细信息以及受损数据的示例。此外,该组织已邀请德勤代表进行私下讨论,这可能表明存在赎金谈判的企图。此次泄露事件可能影响德勤英国的企业客户、机密商业信息、客户数据和财务记录以及该公司的专业声誉。然而,德勤英国尚未公开确认或否认此次入侵事件,网络安全新闻团队正在密切关注事态发展。
https://cybersecuritynews.com/deloitte-hacked/
6. 俄罗斯程序员手机被FSB归还后发现遭秘密安装新间谍软件
12月5日,一名俄罗斯程序员Kirill Parubets在被俄罗斯联邦安全局(FSB)拘留15天并没收手机后,发现设备在归还后被秘密安装了新的间谍软件。该间谍软件模仿了流行的Android应用程序“Cube Call Recorder”,但拥有广泛的权限,可以不受限制地访问设备,并允许攻击者监视手机上的活动。经过公民实验室的取证分析,确认该恶意软件是Monokle的新版本或由相同代码创建的新软件。该间谍软件使用加密的两阶段过程,具有跟踪位置、访问短信、联系人、日历、记录电话和视频、提取消息、文件和密码等多种功能。此外,代码中发现了对iOS的引用,表明可能存在可在Apple iPhone设备上运行的变体。设备被执法部门没收后又被归还的人应考虑换用其他设备或交给专家分析,生活在压迫性国家的人应采取措施保护自己的设备安全。
https://www.bleepingcomputer.com/news/security/new-android-spyware-found-on-phone-seized-by-russian-fsb/
京公网安备11010802024551号