V 币被盗

最近骗子怎么都在 GitHub 上作妖了，光在 v 站就看过好几个案例了。

运行时浏览器的钱包插件有没有弹窗？关于合约交互的。

太夸张了，还好我没钱

之前有 V 有预警过这种类型的盗币方式,现在都不敢直接运行来源不明的代码

这个怎么举报下。太恶劣了

额，能绕过 chrome 读取 phantom 插件的私钥进行转账签名嘛？

这是个啥原理啊 你是 bpm run dev ？ 要是这样 可能是 package 投毒？

你是在本地存了助记词吗？按理说各种插件必须得输密码才能转移资产

运行以后，是不是签署了授权合约？

正好是做 JS 恶意代码分析相关的，就叫简单分析了一下这个项目。

首先，核心原理是你 npm start 运行这个项目后，项目里面存在一个后门函数会自动执行（伪装的比较好），这个函数会从远程下载一个 强混淆后的 JS 恶意代码（看到反调试之类的东西），然后执行后就把你本地浏览器中插件钱包的数据偷走了(里面就有存着私钥或者助记词的数据）。

说一下部分细节：
1. 项目中后门代码在这一行： https://github.com/onboarding-helper/real-world-asset/blob/5c9894415e64b0717b8ded1328b8248685a9fb46/api/config/getContract.js#L223
访问一个远程 URL 把里面的 err string 直接通过 js 运行时转换为代码执行。这个代码在你 npm start 后最终会调用触发到。

2. 这个返回 err string 是一个强混淆的 JS 代码，借助 LLM 简单反混淆分析了一下。他是一个适配了多端(win, macos, linux) 的数据窃取代码，会把多个浏览器下的多种钱包插件的本地存储目录内的关键内容打包，然后后传到他的 C2 去，并且还会从 C2 下载一个脚本，应该是后续的进一步攻击。看到的是浏览器包括 chrome ，brave ，firefox ，opera 这些。然后多种钱包插件都有针对包括 metamask ，Phantom ，binance 等等。

举个例子，比如你在 macos 上用的是 chrome 下的 Phantom 插件，他直接读取这个插件目录(~/Library/Application Support/Google/Chrome/Default/Local Extension Settings/bfnaelmomeimhlpmgjnjophhpkkoljpa)，把里面的.log 和 .ldb 文件传输回去，里面应该是可以恢复出来你钱包的助记词和私钥的, 这也就是热钱包的弊端。有了这些信息把你的资质自动转移就不是什么难题了。

3. 除了拿这些插件钱包的代码，我看到好像还有访问 macos 的 login.keychain ，chrome 等浏览器保存的密码(Login Data)，似乎还有针对 Exodus 桌面钱包的窃取逻辑。二阶段从 C2 服务器下载的东西 怎么执行的还没有详细分析，不确定有没有类似持久化的东西，建议 OP 先把涉及到的关键密码改一下，避免进一步损失，然后再详细排查其他风险。


最后，列一下涉及到的 IOC 吧，方便大家排查：
1. http[:]//chainlink-api-v3[.]com/api/service/token/3d5c7f64bbd450c5e85f0d1cf0202341 （最开始获取 混淆 js 代码的 URL ）
2. http[:]//146[.]70[.]253[.]107:1224 (二阶段 C2 地址)
3. https[:]//api[.]npoint[.]io/96979650f5739bcbaebb (应该是个配置选择，获取参数传给 C2 来拿到不同的 payload)


最最后，这种攻击从今年上半年开始就比较活跃了，但之前被发现都是在 Linkin 上钓鱼，所以国内受影响还是比较小。国外一些做供应链安全的厂商也有一些比较详细的分析报告了, 我看有部分 IOC 相同的，应该是同一个攻击组织。可以参考
https://socket.dev/blog/contagious-interview-campaign-escalates-67-malicious-npm-packages

此外，我看这个号是 15 天刚注册的新号。也不排除是钓鱼的，专门钓一些好奇心强的，大家可千万不要抱着试试的态度盲目在本地运行未知项目啊。

@sengle #10 就这叫专业

@sengle #10 我有个疑问，macos 下 Chrome 的 log data 是加密后的，解密过程需要涉及到 keychain.分析过程中也的确访问了 keychain ，但是理论上来说这个是需要输入密码或者手动同意的， @tangledDream op 有做过类似的操作吗

几行代码就把私钥转走了……第一次如此直观的感受到硬件钱包的重要性

@sengle #10
有必要重装系统吗？还是更改关键密码就行？

@tangledDream 中过一次招的电脑必然要重装，就算安装过杀毒软件全盘扫描过一次也不能信任。

做网络攻击的都知道的老套路了，为了持续获取利益，必然追求权限维持，后台常驻，甚至可以做到潜伏隐匿 10 年以上都不稀奇，你看到交易所那些被盗事件，黑客不会第一时间盗取的，都在等钱包地址的数目持续变大，可以忍几年都没问题，那时候交易所滚到几十亿再被盗损失更夸张。

先改重要密码，然后备份重要资料，再重装系统。这是最靠谱的，其他都是抱着侥幸心理。

@jjijack chrome 浏览器插件也是重灾区了，还会无感自动更新。此外 chrome 里面保存密码也没多安全，只要在你电脑上可以执行代码，都能直接拿到密码明文。所以还是需要提高自己安全意识，对于陌生的、来历不明的项目还是谨慎运行。同时开发者群体天然的存在被攻击的劣势（本地环境什么的都配好了，就差人家给你代码运行一下了）。虽然很多时候 npm run 一把梭感觉很简单，但是具体的安装了什么依赖，执行了什么代码都是无感知的，尤其 npm 依赖关系很复杂，软件供应链攻击并不是说说而已。

@zgzhang #13 我看第一段恶意代码中是直接把数据库文件 login.keychain 和 login.keychain-db 两个拿走了， 但是这俩是加密的。包括之前拿走的钱包的数据库文件，应该也是加密的。攻击者拿到之后一般就是两种方法，直接上密钥爆破，如果你用的是弱密钥应该也要不了多久。第二种应该就是涉及到二阶段的攻击行为了，一般可能会给你电脑下载一些木马，其中就包含一些键盘记录器，或者直接 hook 一些关键的系统接口。在你下一次输入密码或者使用这个插件的时候，自然就拿到你的密钥了。op 可以看一下系统记录，你运行完 npm start 后，再到钱包转账交易发生一共过了多久，中间是不是有过类似操作。