Premint 惡意代碼注入攻擊細節分析_MIN

7?月?17日，據慢霧區情報反饋，Premint遭遇黑客攻擊。慢霧安全團隊在第一時間進行分析和預警。

本文來自慢霧區伙伴ScamSniffer的投稿，具體分析如下：

攻擊細節

打開任意Premint項目頁面，可以看到有個cdn.min.js注入到了頁面中，看調用棧該js是由(https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js)注入，目前該s3-redwood-labs-premint-xyz.com域名已經停止解析，無法正常訪問了。

Solana開發工具提供商Helius推出Solana NFT Compression:3月10日消息，Solana開發工具提供商Helius現已推出Solana NFT Compression，開發者能夠通過數字資產標準（DAS）以低成本鑄造大量NFT。這是通過與Helius等索引公司而非賬戶在鏈外維護NFT狀態實現的，通過一個驗證機制確保鏈外和程序互動是合法安全的。

此前報道，2022年10月20日，Helius完成310萬美元種子輪融資。[2023/3/10 12:54:41]

查詢Whois，該域名在2022-07-16注冊于TucowsDomainsInc：

Layer2解決方案Scroll宣布上線pre-alpha測試網:7月19日消息，基于zkEVM的Layer2解決方案Scroll宣布為外部測試人員發布pre-alpha測試網，快速獲得社區反饋，早期測試者現可在官方網站申請注冊以獲取訪問權限。[2022/7/19 2:23:07]

打開virustotal.com可以看到該域名之前曾解析到CloudFlare：

打開源代碼可以看到boomerang.min.js是Premint用到的一個UI庫：

元宇宙引擎公司VS·work完成數千萬人民幣pre-A輪融資:4月27日消息，元宇宙引擎公司VS·work近日宣布完成pre-A輪數千萬人民幣融資，領投方為金雨茂物投資管理。具體金額未披露，資金將主要用于市場推廣與產品迭代。此外，VS·work的新一輪融資也即將啟動。據了解，VS·work已開發出針對不同線下場景實現替代的虛擬空間及協作工具，為打造一個虛擬宇宙進行準備。在具體業務上，VS·work定位為虛擬空間提供方，對客戶的服務主要在于虛擬空間租賃。（同花順）[2022/4/27 5:14:13]

該js是在s3-redwood-labs.premint.xyz域名下，猜測：

上傳文件接口有漏洞可以上傳任意文件到任意Path

黑客拿到了他們這個AmazonS3的權限，從而可以注入惡意代碼

Draper Goren Holm推出WordPress插件可實現去中心化加密交易:加密風險投資公司Draper Goren Holm推出WordPress插件，可在基于WordPress的網站和博客上實現去中心化加密交易。注：WordPress為著名開源博客軟件和內容管理系統，是當前因特網上最流行的內容管理系統。(Decrypt)[2020/4/22]

這個第三方庫被供應鏈攻擊污染了

把boomerang.min.js代碼下載下來，前面都是正常的代碼，但是末尾有一段經過加密的代碼：

這段代碼負責把代碼s3-redwood-labs-premint-xyz.com/cdn.min.js注入到頁面。

BZU首輪PRE兌換已達成滿額:據FUBT官方公告，?BZU首輪PRE兌換已達成滿額。FUBT將在2020年3月25日17:00(GMT+8)開放BZU充提幣服務，同時，為增加BZU通證流動性，FUBT將同步開放BZU資產PUSH服務。BZU是基于以太坊的去中心化數字資產，發行總量限定5億，是BZU發行的永久且唯一生態服務權益通證，為整個BZU生態通證化運作而設計，也是BZU用戶參與整個生態共治共建并可分享生態收益的通證。[2020/3/25]

惡意代碼cdn.min.js

根據代碼內容，可以大致看到有通過調用dappradar.com的接口來查詢用戶的NFT資產列表。

如果用戶持有相關NFT資產：

惡意代碼會以Two-stepwallet驗證的借口，發起setApprovalForAll讓用戶授權給他們后端接口返回的地址。

如果用戶點了Approve，攻擊者還會調用監測代碼通知自己有人點擊了：

如果當用戶地址沒有NFT資產時，它還會嘗試直接發起轉移錢包里的ETH的資產請求：

另外這種代碼變量名加密成_0xd289_0x開頭的方式，我們曾經在play-otherside.org，thesaudisnfts.xyz這些釣魚網站也見到過。

根據用戶資產發起setApprovalForAll或者直接轉移ETH，并且阻止用戶使用開發者工具debug。

預防方式

那么作為普通用戶如何預防？現階段MetaMask對ERC721的setApprovalForAll的風險提示，遠沒有ERC20的Approve做得好。

即使很多新用戶無法感知到這個行為的風險，但我們作為普通用戶看到帶Approve之類的交易一定要仔細打開授權給相關地址，看看這些地址最近的交易是否異常，避免誤授權！

這種攻擊和上次Etherscan上Coinzilla利用廣告注入惡意的攻擊方式挺相似的，那么在技術上有沒有可能預防？

理論上如果已知一些惡意js代碼的行為和特征：

比如說代碼的加密方式

惡意代碼關鍵特征

代碼會反debug

會調用opensea,debank,dappradar等API查詢用戶資產

根據這些惡意代碼的行為特征庫，那么我們可以嘗試在客戶端網頁發起交易前，檢測頁面有沒有包含已知惡意特征的代碼來探測風險，或者直接更簡單一點，對常見的網站設立白名單機制，不是交易類網站發起授權，給到足夠的風險提醒等。

接下來ScamSniffer和慢霧安全團隊也會嘗試探索一下如何在客戶端來預防此類的攻擊發生！

Ps.感謝作者ScamSniffer的精彩分析！

Tags：PREMINWORBZUPREZgemini女朋友染染退博XCAD Networ

BNB