首頁 > 安全研究 > 安全通報 > 安全簡訊

Solana JavaScript SDK遭供應鏈攻擊,惡意代碼竊取加密貨幣私鑰

發布時間 2024-12-06

1. Solana JavaScript SDK遭供應鏈攻擊,惡意代碼竊取加密貨幣私鑰


12月4日,Solana的JavaScript SDK“@solana/web3.js”在近期的一次供應鏈攻擊中遭到暫時入侵,攻擊者發布了兩個包含惡意代碼的后門版本(1.95.6和1.95.7),旨在竊取加密貨幣私鑰并掏空錢包。這些被入侵的版本在npm上每周下載量超過350,000次,對開發人員和用戶構成了嚴重威脅。Solana證實了這一漏洞,并表示是由于其發布訪問賬戶被入侵所致。攻擊者通過修改庫中的關鍵函數,將惡意代碼添加到庫中,以竊取私鑰并將其發送到攻擊者的服務器。據DataDog研究員稱,威脅行為者添加了一個惡意的“addToQueue”函數,該函數通過看似合法的CloudFlare標頭泄露私鑰。此次攻擊已追溯到特定的Solana地址,該地址包含多種加密貨幣和NFT,估計價值為184,000美元。Solana警告懷疑自己受到攻擊的開發人員立即升級到最新的v1.95.8版本并輪換所有密鑰,同時建議錢包被盜的人立即將剩余資金轉移到新錢包,并停止使用舊錢包。


https://www.bleepingcomputer.com/news/security/solana-web3js-library-backdoored-to-steal-secret-private-keys/


2. 俄羅斯黑客劫持巴基斯坦黑客服務器進行攻擊


12月4日,俄羅斯網絡間諜組織Turla,又名“秘密暴雪”,近期采取了一種新的攻擊策略,即攻擊并劫持其他黑客組織的基礎設施,以秘密入侵已經受到攻擊的網絡。該組織成功劫持了巴基斯坦黑客組織Storm-0156的基礎設施,并利用其訪問了Storm-0156曾入侵過的阿富汗和印度政府組織網絡,部署了惡意軟件工具。據Lumen的Black Lotus實驗室報告,Turla自2022年12月開始進行此次行動,并一直持續至2023年。Turla是一個受俄羅斯政府支持的黑客組織,長期針對全球政府、組織和研究機構進行網絡間諜活動。此次,他們在Storm-0156的網絡中發現了奇怪的網絡行為,并成功攻破其多個C2節點,部署了包括TinyTurla后門變種、TwoDash后門等在內的惡意軟件。除了獲取Storm-0156的惡意軟件工具和被盜數據外,Turla還進一步將目標對準了Storm-0156本身,橫向進入了其工作站。Turla的這種策略使他們能夠秘密收集情報,避免暴露自己或工具集,從而簡化歸因工作。


https://www.bleepingcomputer.com/news/security/russian-turla-hackers-hijack-pakistani-apt-servers-for-cyber-espionage-attacks/


3. 哥斯達黎加RECOPE公司遭勒索軟件攻擊引發燃料供應擔憂


12月4日,哥斯達黎加石油煉制公司(RECOPE)近期遭到勒索軟件攻擊,導致其運營受到影響,并引發公眾對可能出現燃料短缺的擔憂。該事件于11月27日被發現,迫使RECOPE實施手動流程,數字支付系統受阻,燃料分配也受到影響。RECOPE負責管理全國燃料進口、提煉和分配,包括重要管道,此次攻擊對其運營帶來了挑戰,尤其是在油罐車燃料碼頭。盡管RECOPE確認燃料儲備充足,但公眾擔憂導致燃料銷售激增,公司不得不延長運營時間。在美國網絡安全專家的協助下,RECOPE已開始部分恢復系統,但在全面恢復前需確?;A設施安全。這一事件是針對哥斯達黎加關鍵基礎設施網絡攻擊趨勢的延續,之前Conti勒索軟件組織已發動過類似攻擊,導致基本服務癱瘓,迫使總統宣布緊急狀態并獲得美國援助。盡管有關部門否認更多攻擊的謠言,但RECOPE事件凸顯了關鍵基礎設施易受網絡威脅的現狀,相關部門將積極參與支持其恢復工作。


https://securityonline.info/recope-costa-ricas-state-owned-energy-provider-grapples-with-ransomware-attack-and-fuel-supply-disruption/


4. 羅馬尼亞選舉系統遭受超過 85,000 次網絡攻擊


12月5日,羅馬尼亞情報局的一份解密報告指出,該國選舉基礎設施在總統選舉期間遭受了超過85,000次網絡攻擊,攻擊源自33個國家。攻擊者入侵了一臺包含地圖數據的服務器,并泄露了與選舉相關的網站的賬戶憑證在俄羅斯黑客論壇上。這些攻擊持續到第一輪總統選舉后的第二天,目標包括破壞選舉基礎設施、更改公眾選舉信息和拒絕訪問系統。羅馬尼亞情報機構警告稱,選舉基礎設施仍存在漏洞,可能會被利用進行網絡橫向移動和建立持久性。此外,報告還指出,超過100名羅馬尼亞TikTok影響者被操縱來分發宣傳總統候選人卡林·喬治斯庫的選舉內容,這些賬戶在選舉日前兩周變得非?;钴S,其中一些賬戶甚至從2016年創建但直到近期才開始活躍。羅馬尼亞對外情報局指出,俄羅斯近期有干涉其他國家選舉的歷史,并將羅馬尼亞視為敵國,因為羅馬尼亞允許北約在北約東部駐軍。


https://www.bleepingcomputer.com/news/security/romanias-election-systems-targeted-in-over-85-000-cyberattacks/


5. 勒索軟件組織Brain Cipher聲稱入侵德勤英國


12月4日,臭名昭著的勒索軟件組織Brain Cipher聲稱已成功入侵德勤英國公司,并竊取了超過1TB的敏感數據。該組織于2024年6月出現,曾對全球多個組織進行網絡攻擊,包括對印度尼西亞國家數據中心的重大攻擊。據Brain Cipher發布的聲明,此次攻擊暴露了德勤英國網絡安全基礎設施的漏洞。他們計劃發布此次入侵的詳細信息,包括涉嫌違反安全協議的證據、德勤與客戶之間的合同協議分析、監控系統和安全工具的詳細信息以及受損數據的示例。此外,該組織已邀請德勤代表進行私下討論,這可能表明存在贖金談判的企圖。此次泄露事件可能影響德勤英國的企業客戶、機密商業信息、客戶數據和財務記錄以及該公司的專業聲譽。然而,德勤英國尚未公開確認或否認此次入侵事件,網絡安全新聞團隊正在密切關注事態發展。


https://cybersecuritynews.com/deloitte-hacked/


6. 俄羅斯程序員手機被FSB歸還后發現遭秘密安裝新間諜軟件


12月5日,一名俄羅斯程序員Kirill Parubets在被俄羅斯聯邦安全局(FSB)拘留15天并沒收手機后,發現設備在歸還后被秘密安裝了新的間諜軟件。該間諜軟件模仿了流行的Android應用程序“Cube Call Recorder”,但擁有廣泛的權限,可以不受限制地訪問設備,并允許攻擊者監視手機上的活動。經過公民實驗室的取證分析,確認該惡意軟件是Monokle的新版本或由相同代碼創建的新軟件。該間諜軟件使用加密的兩階段過程,具有跟蹤位置、訪問短信、聯系人、日歷、記錄電話和視頻、提取消息、文件和密碼等多種功能。此外,代碼中發現了對iOS的引用,表明可能存在可在Apple iPhone設備上運行的變體。設備被執法部門沒收后又被歸還的人應考慮換用其他設備或交給專家分析,生活在壓迫性國家的人應采取措施保護自己的設備安全。


https://www.bleepingcomputer.com/news/security/new-android-spyware-found-on-phone-seized-by-russian-fsb/

上一篇 下一篇