ROB:Premint 恶意代码注入攻击细节分析_aidoge币有没有前景

作者：

时间：

7?月?17日，据慢雾区情报反馈，Premint遭遇黑客攻击。慢雾安全团队在第一时间进行分析和预警。

本文来自慢雾区伙伴ScamSniffer的投稿，具体分析如下：

攻击细节

打开任意Premint项目页面，可以看到有个cdn.min.js注入到了页面中，看调用栈该js是由(https://s3-redwood-labs.premint.xyz/theme/js/boomerang.min.js)注入，目前该s3-redwood-labs-premint-xyz.com域名已经停止解析，无法正常访问了。

Supremacy：Eden Network部署者地址私钥遭泄露，或由profanity漏洞导致:10月14日消息，据Supremacy安全团队监测，2022年10月14日 Eden Network的部署者地址在链上发起异常交易，部署者调用setMetadataManager将其元数据管理员权限转移到攻击者地址0x5C95123b1c8d9D8639197C81a829793B469A9f32，随后该地址利用此权限将EDEN币的名称和符号修改为\"EDEN Hack Inu\"和\"EDENHACK\"，由于部署者地址对于EDEN token的admin权限早已转移，目前攻击暂未造成其他影响。[2022/10/15 14:28:12]

查询Whois，该域名在2022-07-16注册于TucowsDomainsInc：

砺算科技完成过亿元PreA轮融资，将发力元宇宙等应用:金色财经报道，10月9日，高性能图形GPU（图像处理器）公司砺算科技宣布完成过亿元PreA轮融资，君桐资本、活水资本、达泰资本、哲方资本共同领投。此外，公司近期还将启动新一轮融资。

本轮资金将用于高性能图形渲染GPU产品研发及相关商务拓展，完成兼容国际标准的图形GPU功能，以及针对元宇宙、数字孪生、云渲染、新能源车应用的定制开发。

砺算科技联合创始人孔德海表示，“数字孪生、元宇宙等数字世界都必须建立在高性能渲染GPU的基础之上。砺算高性能渲染GPU，将持续为从数字孪生、AR/VR、云游戏到未来元宇宙提供驱动力。”（新京报）[2022/10/9 12:50:19]

打开virustotal.com可以看到该域名之前曾解析到CloudFlare：

Web3梦幻体育游戏平台Gambit完成150万美元pre-seed轮融资:金色财经报道，Web3梦幻体育游戏平台Gambit宣布完成了一笔150万美元pre-seed轮融资，Web3 风险投资工作室 SuperLayer 领投。Gambit 融合了免费游戏和“边玩边赚”P2E两种游戏模式，尤其是在当前NBA季后赛和总决赛期间，吸引了2.3万名新用户，其主要受众群里来自于东南亚和印度市场。据悉，参与本轮融资的 SuperLayer 曾获得多个知名投资方支持，包括前超级碗 MVP Joe Montana 和风险投资公司 Andreessen Horowitz（a16z）。[2022/6/10 4:15:28]

打开源代码可以看到boomerang.min.js是Premint用到的一个UI库：

新加坡区块链初创公司Doxa完成220万美元Pre-A轮融资:4月19日消息，总部位于新加坡的区块链金融科技初创公司Doxa完成220万美元Pre-A轮融资。该公司表示，参投方包括上市公司和物流公司，但没有透露具体细节。新融资将用于其销售和营销工作、产品改进以及向东南亚扩张。

Doxa运营着由区块链技术支持的Doxa Connex，这是一个让建筑玩家和房地产开发商数字化处理采购、支付和融资的平台。通过自动化支付，该服务可以跟踪从报价邀请到付款和交货的整个采购过程。它还可以连接利益相关方在交易上进行实时云协作。（TechInAsia）[2022/4/19 14:33:21]

该js是在s3-redwood-labs.premint.xyz域名下，猜测：

上传文件接口有漏洞可以上传任意文件到任意Path

Nippon Express宣布与英特尔子公司合作利用区块链建立可追踪物流:日本Nippon Express公司将与埃森哲和英特尔在日本的子公司合作，利用区块链建立一个可以实时跟踪的环境，以防止假冒药品流入运输网络。（jp.cointelegraph）[2020/3/9]

黑客拿到了他们这个AmazonS3的权限，从而可以注入恶意代码

这个第三方库被供应链攻击污染了

把boomerang.min.js代码下载下来，前面都是正常的代码，但是末尾有一段经过加密的代码：