Hamis Polymarket arbitrázsbot

Editors' Pick

A SafeDep kutatói egy kifinomult szoftverellátási lánc elleni támadást tártak fel, amelyben egy hamis Polymarket arbitrázsbot GitHub-tárhelyét használták fejlesztők kompromittálására. A Trum3it/polymarket-arbitrage-botrepository működő DeFi kereskedési eszköznek tűnt, 36 csillagot és 53 forkot gyűjtött, mielőtt bárki észrevette volna a rejtett támadást. A projekt függőségei között szerepelt a látszólag legitim clob-client-math npm-csomag, amelyet a forráskód egyáltalán nem használt. A csomag kizárólag azért szerepelt a package.json fájlban, hogy az npm install során automatikusan lefusson a postinstall szkript. A SafeDep összesen 10 összehangolt npm-fiókot és 30 rosszindulatú csomagotazonosított, amelyek Polymarket-, DeFi- és matematikai segédkönyvtáraknak álcázták magukat. 

A kutatás négy különböző fertőzési technikát azonosított. A leggyakoribb módszer során a postinstall szkript nem tartalmazta közvetlenül a C2 címet, hanem azt a csomag homepage mezőjéből olvasta ki, majd egy konfigurációs fájl alapján letöltötte és futtatta a második fázisú payloadot. Más variánsok az npm-regisztert használták payload-tárolóként vagy több lépcsőben töltötték le a kódot, megnehezítve a statikus elemzést. A végső payload egy információlopó (infostealer) volt, amely kifejezetten kriptovaluta-fejlesztőket célzott: megszerezte a .env fájlokban tárolt Polymarket privát kulcsokat, böngészőkben mentett hitelesítő adatokat, AWS kulcsokat, SSH kulcsokat, Git hitelesítő adatokat, kriptotárcákat és jelszókezelők tartalmát. A támadók már nem ismert márkákat utánoznak, hanem szakmai kontextusba illeszkedő, hihető függőségnevekkel veszik célba a fejlesztőket, miközben maga a GitHub-projekt tűnik a támadás elsődleges csalinak, nem pedig a rosszindulatú npm-csomag.

FORRÁS