PRE:Premint 恶意代码注入攻击细节分析_Rematic

7?月?17日，据慢雾区情报反馈，Premint遭遇黑客攻击。慢雾安全团队在第一时间进行分析和预警。

本文来自慢雾区伙伴ScamSniffer的投稿，具体分析如下：

攻击细节

打开任意Premint项目页面，可以看到有个cdn.min.js注入到了页面中，看调用栈该js是由(https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js)注入，目前该s3-redwood-labs-premint-xyz.com域名已经停止解析，无法正常访问了。

OKX上线Nitro Spread，允许交易者进行一键基差交易:6月27日消息，加密交易平台 OKX 推出了Nitro Spread功能，这是其场外交易 (OTC) 机构流动性市场的一项功能，允许交易者一键进行复杂的基差交易。

基差交易是指通过交易资产在两个不同市场上的价格差异来获取收益，例如，交易资产在现货市场与期货市场上的差异。OKX的Nitro Spread将此类交易自动化为一键式。该公司表示，交易者可以在交易平台上市的现货、永续和期货合约的任意组合中应用这一功能。[2023/6/27 22:03:09]

查询Whois，该域名在2022-07-16注册于TucowsDomainsInc：

打开virustotal.com可以看到该域名之前曾解析到CloudFlare：

动态 | 预测市场服务公司Prediction Labs为Augur推出即时结算服务:据The Block消息，预测市场服务公司Prediction Labs为区块链预测市场应用Augur推出即时结算服务STLD Exchange。Augur用户可借助该服务直接将其代币转换为DAI。[2019/10/24]

打开源代码可以看到boomerang.min.js是Premint用到的一个UI库：

该js是在s3-redwood-labs.premint.xyz域名下，猜测：

上传文件接口有漏洞可以上传任意文件到任意Path

黑客拿到了他们这个AmazonS3的权限，从而可以注入恶意代码

这个第三方库被供应链攻击污染了

把boomerang.min.js代码下载下来，前面都是正常的代码，但是末尾有一段经过加密的代码：

声音 | Morgan Creek联合创始人：计划在年前再进行2-3次Pre-种子轮融资:Morgan Creek Digital联合创始人Anthony Pompliano发推称其计划在年前再进行2-3次Pre-种子轮融资。并向网友询问有没有什么意见。[2019/10/15]

这段代码负责把代码s3-redwood-labs-premint-xyz.com/cdn.min.js注入到页面。

恶意代码cdn.min.js

动态 | Mixin Network与City Express Group达成合作:Mixin Network 与尼泊尔大型综合金融集团 City Express Group 的全球支付服务商City Express Money Transfer Co. Ltd就即时通讯支付系统深度合作。 尼泊尔将使用Mixin Network的分布式账本技术和DApp Mixin Messenger进行跨境支付和电子支付和结算。[2018/6/28]

根据代码内容，可以大致看到有通过调用dappradar.com的接口来查询用户的NFT资产列表。

WordPress推出面向网络文章发行人的闪电网络应用程序:据coinjournal消息，WordPress推出闪电网络应用程序（LApp），挑战Blockstream。该LApp将实现在线内容的简单透明获利，而不会使许多发布商／发行人的收入依赖于广告收入。这款LApp允许使用WordPress的发行人在用户可以访问其网站完整文章或博客文章之前要求使用闪电网络小额支付比特币，这似乎为许多基于网络的发行人提供了一个很好的解决方案，这是因为这些发行人的收入通常完全控制在少数的大型广告网络上。[2018/3/28]

如果用户持有相关NFT资产：

恶意代码会以Two-stepwallet验证的借口，发起setApprovalForAll让用户授权给他们后端接口返回的地址。

如果用户点了Approve，攻击者还会调用监测代码通知自己有人点击了：

如果当用户地址没有NFT资产时，它还会尝试直接发起转移钱包里的ETH的资产请求：

另外这种代码变量名加密成_0xd289_0x开头的方式，我们曾经在play-otherside.org，thesaudisnfts.xyz这些钓鱼网站也见到过。

根据用户资产发起setApprovalForAll或者直接转移ETH，并且阻止用户使用开发者工具debug。

预防方式

那么作为普通用户如何预防？现阶段MetaMask对ERC721的setApprovalForAll的风险提示，远没有ERC20的Approve做得好。

即使很多新用户无法感知到这个行为的风险，但我们作为普通用户看到带Approve之类的交易一定要仔细打开授权给相关地址，看看这些地址最近的交易是否异常，避免误授权！

这种攻击和上次Etherscan上Coinzilla利用广告注入恶意的攻击方式挺相似的，那么在技术上有没有可能预防？

理论上如果已知一些恶意js代码的行为和特征：

比如说代码的加密方式

恶意代码关键特征

代码会反debug

会调用opensea,debank,dappradar等API查询用户资产

根据这些恶意代码的行为特征库，那么我们可以尝试在客户端网页发起交易前，检测页面有没有包含已知恶意特征的代码来探测风险，或者直接更简单一点，对常见的网站设立白名单机制，不是交易类网站发起授权，给到足够的风险提醒等。

接下来ScamSniffer和慢雾安全团队也会尝试探索一下如何在客户端来预防此类的攻击发生！

Ps.感谢作者ScamSniffer的精彩分析！

标签：PREMINAPPREMShiba Predator英文名gemini好俗气imtoken下载官网appRematic

瑞波币热门资讯