恶意软件利用“域名抢注”攻击以太坊开发环境 Hardhat，用户信息遭窃取

最近，IT之家报道称，科技媒体Bleeping Computer披露了一则颇具警示意义的网络安全事件，涉及到以太坊开发环境Hardhat。安全研究人员发现，一些黑客通过利用与合法软件包名称相似的恶意软件包，潜入Hardhat的用户系统，造成了用户敏感信息的泄露。

Hardhat是由Nomic基金会维护的用于以太坊开发的重要工具。它广泛应用于智能合约，以及去中心化应用（dApps）的开发、测试和部署。使用Hardhat的用户涵盖了区块链软件开发者、金融科技公司、初创企业以至教育机构。这些用户通常通过npm（Node Package Manager）获取项目组件，npm是一个在JavaScript生态系统中被广泛应用的依赖管理工具，可以方便开发者管理各种依赖项、库和模块。

此次攻击的核心是“域名抢注”（typosquatting）技术，攻击者在npm上创建了三个恶意账户，上传了20个伪装成合法软件包的恶意包，而这些伪装软件包的名称与真正的软件包名称极其相似。因此，很多开发者在不知情的情况下，错误地下载并安装了这些软件包。截至目前，这些恶意软件包的下载量超过了1000次，造成了潜在的安全隐患。

根据Socket公司的分析，这些恶意软件包的名称包括但不限于：nomicsfoundations、@nomisfoundation/hardhat-configure、@monicfoundation/hardhat-config等。有些名称几乎与Nomic基金会旗下的合法项目名称无异，这进一步提升了攻击的成功率。

一旦用户安装了这些恶意软件包，隐藏在其代码中的恶意功能将被激活。这些恶意软件的主要目标是收集用户的Hardhat私钥、配置文件和助记词（mnemonics），这些信息对于访问以太坊钱包至关重要。攻击者通过硬编码的AES密钥加密收集到的数据，并将其发送至攻击者控制的外部服务器。Socket的报告指出，这些恶意软件包利用了Hardhat环境中的设施，如hreInit()和hreConfig()等函数，以获取敏感信息。

考虑到很多受影响的开发者是处于开发阶段，这意味着他们的系统极有可能与生产环境相连。因此，黑客可以获得对生产系统的未授权访问权限，极有可能导致智能合约的破坏或通过恶意克隆版本的dApps进行攻击，给更大规模的安全隐患埋下了伏笔。

对于开发者而言，保护自己的开发环境和敏感信息是重中之重。在下载任何新软件包前，开发者需要对软件包的来源进行严格审查。同时，建议使用代码审查工具来分析软件包的代码，确保其中没有恶意代码存在。除了这一点，使用多重身份验证和定期更新敏感信息，也能够为开发者提供额外的安全保障。

Nomic基金会及npm官方也须尽快强化的安全审查机制，尤其是在包的上传和发布阶段。对于类似“域名抢注”的行为应制定更为严格的政策，以防止不法分子的恶意行为影响开源社区的健康发展。

科技界的开源发展在给开发者带来便利的同时，也让黑客有了可趁之机。因此，对于开发者、机构以及而言，安全意识和防范措施是保障软件开发过程安全性的重要组成部分。希望通过此次事件，提高更多开发者的警惕性，提高对潜在网络安全威胁的认识。

安全不是一个孤立的问题，而是涉及到开发者、运营者以及社区之间紧密合作的必要事务。只有通过共同的努力，才能够有效提升整个开源生态的安全性，避免未来发生类似事件，让我们一起为安全的开发环境而努力。