20个恶意包模拟由以太坊开发人员使用的开发环境 Hardhat，旨在窃取开发人员的私钥和其它敏感数据。研究人员表示，这些恶意包的总下载量超过1000次。

Hardhat 是由 Nomic Foundation 维护的使用广泛的以太坊开发环境，用于在以太坊区块链上开发、测试和部署智能合约和去中心化应用 (dApps) 。它的用户通常包括区块链软件开发人员、金融技术企业和创业公司以及教育机构。这些用户通常会从npm上查找自己的项目组件。

在npm上，三个恶意账户上传了20个信息窃取包，它们通过typosquatting来模拟合法包并诱骗用户进行安装。

其中16款恶意包的名称如下：

一旦被安装，这些包中的代码就会尝试收集 Hardhat 私钥、配置文件和   ，通过硬编码的一个AES密钥进行加密，之后将它们提取给攻击者。Socket 公司解释称，“这些包利用的 Hardhat运行时环境使用了多个函数如 hreInit()和hreConfig() 来收集敏感详情如私钥、助记词和配置文件。被收集的数据传输给受攻击者控制的端点，利用硬编码密钥和以太坊地址进行提取。”

安全风险和缓解措施

私钥和助记词用于访问以太坊钱包，因此该攻击的第一个后果是通过初始化越权交易丢失资金。

另外，由于很多失陷系统属于开发人员，因此攻击者可获得对生产系统的越权访问权限并攻陷智能合约或者部署已有 dApps 的恶意克隆，为后续发动影响力更大的范围更广的攻击铺路。

Hardhat的配置文件可能包括用于第三方服务的API密钥以及开发网络和端点相关的信息，它们可用于钓鱼攻击。软件开发人员应当保持警惕、验证程序包的真实性、警惕typosquatting以及在安装前检查源代码的安全。作为通用建议，密钥不应被硬编码而应该存储在安全钱包中。为减少此类风险，用户应使用锁定文件、为依赖定义特定版本并尽可能地少使用它们。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~