05.09.2025
1 хв
584
Дослідники виявили чотири нові шкідливі бібліотеки в реєстрі npm, замасковані під легальні інструменти Flashbots. Вони призначені для викрадення приватних ключів і мнемонічних фраз Ethereum-розробників із подальшою передачею даних у Telegram-бот зловмисників.
Пакети були завантажені користувачем під ніком *flashbotts*, перші з них з’явилися ще у вересні 2023 року, а останні — у серпні 2025-го. Найнебезпечніший з них — @flashbotts/ethers-provider-bundle — під виглядом SDK Flashbots мав приховані функції для викрадення середовищних змінних через SMTP та переспрямування незавірених транзакцій на гаманець атакуючого.
Інші пакети (flashbot-sdk-eth, sdk-ethers, gram-utilz) також містили приховані можливості для крадіжки мнемонічних фраз та приватних ключів, передаючи дані в Telegram. Особливу небезпеку становить те, що код виглядав переважно легітимним, що ускладнювало виявлення шкідливих функцій.
Коментарі у вихідному коді вказують на те, що зловмисник може бути в’єтнамськомовним і діяв із фінансових мотивів.
Flashbots — один із ключових гравців у боротьбі з негативними ефектами MEV (Maximal Extractable Value) в Ethereum-мережі, такими як «сэндвіч-атаки» чи «фронтранінг». Популярність бренду створює ідеальні умови для атак на ланцюг постачання ПЗ: розробники та валідатори легко ведуться на пакети з відомою назвою.
За словами дослідників Socket, компрометація приватного ключа у цій сфері може миттєво призвести до безповоротної втрати коштів, адже всі операції в Ethereum є незворотними.
Інцидент із підробленими бібліотеками ще раз доводить, що довіра до знайомих назв у пакетних менеджерах може обернутися катастрофою. Розробникам варто перевіряти джерела бібліотек і стежити за офіційними каналами Flashbots, щоб уникнути використання заражених залежностей.
