REM:Premint 惡意代碼注入攻擊細節分析_PRE

7?月?17日，據慢霧區情報反饋，Premint遭遇黑客攻擊。慢霧安全團隊在第一時間進行分析和預警。

本文來自慢霧區伙伴ScamSniffer的投稿，具體分析如下：

攻擊細節

打開任意Premint項目頁面，可以看到有個cdn.min.js注入到了頁面中，看調用棧該js是由(https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js)注入，目前該s3-redwood-labs-premint-xyz.com域名已經停止解析，無法正常訪問了。

Web3和AI數據庫平臺EdgeIn正以800萬美元估值進行150萬美元Pre-Seed輪融資:8月4日消息，Web3和AI數據庫平臺EdgeIn正以800萬美元的公司估值進行150萬美元Pre-Seed輪融資，目前已經籌集到40萬美元，天使投資人包括Mike Dinsdale（Akkadian Ventures、DocuSign、DoorDash、Gusto）、Mike Borozdin（DocuSign、Google）、Jeremy Clover（Circle）、Pedram Amini、Bayo Okusanya和Ulises Merino Nú?ez。

EdgeIn旨在進一步提升Web3公司、資金、組織管理和其他數據的透明度，目前已對超過90%的Web3市場融資和公司信息進行了索引，并已列出約50,000個Web3公司和項目。[2023/8/5 16:19:44]

查詢Whois，該域名在2022-07-16注冊于TucowsDomainsInc：

加密分析平臺yPredict完成超160萬美元預售輪融資:金色財經報道，加密分析平臺yPredict宣布完成超160萬美元預售輪融資，該平臺利用人工智能 (AI) 和機器學習(ML) 為初學者和高級交易者提供數據驅動的見解，為交易者提供了做出更好投資決策所需的“優勢”。根據yPredict白皮書，該平臺將提供多種指標分析工具，以進行交易信號和自動圖表模式識別、加密貨幣情緒分析、最佳交易策略選擇等。（beincrypto）[2023/5/25 10:38:05]

打開virustotal.com可以看到該域名之前曾解析到CloudFlare：

Supremacy：權志龍發行的NFT系列存在已披露的CVE-2022-38217通用漏洞:3月22日消息，據 Web3 安全機構 Supremacy 監測，韓國歌手權志龍名下品牌 PEACEMINUSONE（PMO）NFT 系列存在之前披露的 CVE-2022-38217 通用漏洞，不能排除被黑客使用過的可能。[2023/3/22 13:19:34]

打開源代碼可以看到boomerang.min.js是Premint用到的一個UI庫：

該js是在s3-redwood-labs.premint.xyz域名下，猜測：

上傳文件接口有漏洞可以上傳任意文件到任意Path

Osprey Funds CEO稱美國最早將在2022年批準比特幣ETF:7月19日，比特幣信托發行商Osprey Funds的首席執行官Greg King在接受雅虎財經的采訪時表示，他認為Gary Gensler領導下的美國證券交易委員會（SEC）在2021年有很多事情要做，BTC ETF的批準不太可能實現。（Cointelegraph）[2021/7/20 1:05:34]

黑客拿到了他們這個AmazonS3的權限，從而可以注入惡意代碼

這個第三方庫被供應鏈攻擊污染了

把boomerang.min.js代碼下載下來，前面都是正常的代碼，但是末尾有一段經過加密的代碼：

李笑來卷土重來 Press.com項目重新啟動:最新消息！笑來的Press.one項目重新啟動，更名為B.Network卷土重來。B.Network的官網介紹，它是一個內容分發公鏈，人們可以在這里創建各種各樣基于內容的去中心化應用，比如電商、音樂分享、視頻直播等。B.Network的界面和此前Press.one的一模一樣，包括網頁布局、內容介紹等。[2017/12/1]

這段代碼負責把代碼s3-redwood-labs-premint-xyz.com/cdn.min.js注入到頁面。

惡意代碼cdn.min.js

根據代碼內容，可以大致看到有通過調用dappradar.com的接口來查詢用戶的NFT資產列表。

如果用戶持有相關NFT資產：

惡意代碼會以Two-stepwallet驗證的借口，發起setApprovalForAll讓用戶授權給他們后端接口返回的地址。

如果用戶點了Approve，攻擊者還會調用監測代碼通知自己有人點擊了：

如果當用戶地址沒有NFT資產時，它還會嘗試直接發起轉移錢包里的ETH的資產請求：

另外這種代碼變量名加密成_0xd289_0x開頭的方式，我們曾經在play-otherside.org，thesaudisnfts.xyz這些釣魚網站也見到過。

根據用戶資產發起setApprovalForAll或者直接轉移ETH，并且阻止用戶使用開發者工具debug。

預防方式

那么作為普通用戶如何預防？現階段MetaMask對ERC721的setApprovalForAll的風險提示，遠沒有ERC20的Approve做得好。

即使很多新用戶無法感知到這個行為的風險，但我們作為普通用戶看到帶Approve之類的交易一定要仔細打開授權給相關地址，看看這些地址最近的交易是否異常，避免誤授權！

這種攻擊和上次Etherscan上Coinzilla利用廣告注入惡意的攻擊方式挺相似的，那么在技術上有沒有可能預防？

理論上如果已知一些惡意js代碼的行為和特征：

比如說代碼的加密方式

惡意代碼關鍵特征

代碼會反debug

會調用opensea,debank,dappradar等API查詢用戶資產

根據這些惡意代碼的行為特征庫，那么我們可以嘗試在客戶端網頁發起交易前，檢測頁面有沒有包含已知惡意特征的代碼來探測風險，或者直接更簡單一點，對常見的網站設立白名單機制，不是交易類網站發起授權，給到足夠的風險提醒等。

接下來ScamSniffer和慢霧安全團隊也會嘗試探索一下如何在客戶端來預防此類的攻擊發生！

Ps.感謝作者ScamSniffer的精彩分析！

Tags：PREMINREMAPPSpreadCoinIce Rock MiningREMIX價格Dapper

火幣APP