黑客正逐渐放弃传统的服务器,转而利用去中心化系统攻击开发者并窃取他们的加密货币资金。他们正用去中心化方案完全取代传统的命令与控制(C2)服务器。
在此次攻击中,恶意软件滥用了Solana区块链。它利用Solana交易的备注字段运行隐蔽恶意软件,窃取加密钱包数据,甚至包括硬件钱包恢复短语。
备注字段最初设计用于简单的交易记录,但攻击者现在却将其用作隐藏的通信层。这使得区块链的一项公共功能变成了恶意软件控制的隐蔽通道。
像Solana这样的去中心化备忘录是公开且永久的,任何一方都无法将其删除。此外,攻击者无需更改恶意软件即可更新指令。
该攻击活动被认为是 GlassWorm 恶意软件的新版本,该恶意软件至少从 2022 年起就已活跃。
Solana备忘录充当死信箱解析器
据Aikido的安全研究人员称,此次攻击分为三个阶段或三个有效载荷。第一阶段/有效载荷只是一个入口点。它始于开发者从npm、PyPI、GitHub或Open VSX市场等开源代码库安装恶意软件包之时。
该恶意软件会检查系统区域设置是否为俄语,如果是,则不会继续攻击。这是因为攻击者很可能位于俄罗斯,并且不想被当局抓获。安装完成后,该恶意软件会利用Solana区块链获取攻击者的命令与控制 (C2) 服务器 IP 地址。它会在Solana上查找备注字段中包含 C2 服务器 IP 地址的特定交易。
恶意软件随后连接到C2服务器,并开始攻击的第二阶段。在此阶段,恶意软件会寻找加密货币数据,例如助记词、私钥,甚至钱包截图。它的目标是Metamask、Phantom、Coinbase、Exodus、Binance、 Ronin、Keplr等浏览器扩展钱包。
该恶意软件还会搜寻浏览器数据,例如登录会话、会话令牌和云访问权限。这意味着它可以访问集中式交易所账户、npm、GitHub 和 AWS 账户。
恶意软件收集数据后,将其压缩成 ZIP 文件,并将其发送到攻击者的服务器。
硬件钱包成为网络钓鱼攻击的目标
最后一段有效载荷分为两部分。第一部分是一个 .NET 二进制文件,用于查找 Ledger 和 Trezor 等硬件钱包。如果找到,它会显示一条虚假的错误信息,诱骗用户输入助记词。
第二部分是一个基于 WebSocket 的 JavaScript RAT(远程访问木马),用于窃取浏览器数据。它还会安装一个伪装成 Chrome 扩展程序的插件,该插件会监控特定网站(例如交易所)并实时窃取 cookie。该插件通过 Google 日历事件以“死信箱”解析器的形式下载。这种方法允许攻击者隐藏真实服务器,绕过安全过滤器,并充当间接的传播层。
与仅窃取浏览器数据的第二阶段恶意软件不同,此远程访问木马 (RAT) 拥有实时控制权。它会保持活动状态并监控浏览器,捕获新的 Cookie,跟踪活跃会话(例如已登录的 Exchange 帐户),记录键盘输入并截取屏幕截图。此外,它还允许攻击者在受害者的计算机上执行命令。
GlassWorm 很难清除。这种恶意软件可以重新下载自身,并且能够在重启后继续运行。它还会使用诸如分布式哈希表 (DHT) 查找和Solana备忘录之类的备用方法来寻找控制服务器。
由于没有中央服务器,数据在许多计算机上共享,因此防御者很难在网络层面阻止攻击。
