5 Minuty
Microsoft varuje před npm balíčky, které šíří RAT kradoucí kryptoměny
Microsoft vydal varování, že dva npm balíčky byly zneužity k nasazení trojského koně s dálkovým přístupem (RAT), který shromažďuje přihlašovací údaje k peněženkám kryptoměn a další citlivé údaje vývojářů. Objevení podtrhuje pokračující hrozbu v dodavatelském řetězci, která cílí na nástroje a stroje používané k vývoji a provozu kryptoinfrastruktury.
Detaily útoku: otrávené npm balíčky a nečekané vynášení dat
Microsoft Threat Intelligence identifikoval dva kompromitované npm moduly, [email protected] a [email protected], které instalují malware schopný zaznamenávat stisky kláves, pořizovat snímky obrazovky a prohledávat soubory, které často obsahují peněženky, API klíče a autentizační tokeny. Útočníci poté použili repozitáře Hugging Face k přenosu odcizených dat, taktice, která může maskovat exfiltraci v rámci legitimního provozu AI/ML a snížit detekci tradičními bezpečnostními kontrolami.
Kompromitované npm balíčky ([email protected], [email protected]) zneužívají repozitáře Hugging Face jako infrastrukturu pro vynášení dat. Balíčky nasazují trojského koně s dálkovým přístupem (RAT), který zachycuje stisky kláves, snímky obrazovky a přihlašovací údaje k kryptopeněženkám.
Proč jsou vývojáři a uživatelé kryptoměn ohroženi
npm je široce používaný veřejný registr pro balíčky JavaScriptu. Když si vývojář nainstaluje kompromitovanou závislost, malware může na hostitelském stroji běžet bez větších stop a vyhledávat cenné artefakty: rozšíření prohlížeče s peněženkami, soukromé klíče, soubory s mnemonickými frázemi, API klíče burz, GitHub tokeny a přihlašovací údaje do cloudů. Kompromitované systémy vývojářů poskytují útočníkům přímé cesty k vyprázdnění peněženek, převzetí obchodních účtů nebo vložení škodlivého kódu do produkčních prostředí.
Kontext dodavatelského řetězce: jde o širší trend
Toto varování navazuje na nedávné incidenty v dodavatelském řetězci, které postihly kryptoměnový a vývojářský ekosystém. Předchozí kampaně, včetně operace TrapDoor, zneužívaly balíčky v registrech npm, PyPI a Rust k odcizení přihlašovacích údajů a získání přístupu k tajným informacím. Jiné zprávy upozornily na škodlivá vydání Axios a npm payloady, které instalovaly multiplatformní RATy nebo malware založený na crypto-js, cílené na vývojáře v oblasti kryptoměn a AI.
Hrozby cryptojackingu a GPU minerů
Microsoft také nedávno upozornil na samostatné kampaně, které používaly zmanipulované výsledky vyhledávání a falešné stahování utilit k doručení malware pro těžbu na GPU do vysoce výkonných systémů. Tyto útoky využívaly podvodné instalátory pro nástroje jako CrystalDiskInfo a HWMonitor a zneužívaly software pro vzdálenou správu, například ScreenConnect, k provozu kryptominerů, čímž ohrožovaly hráče, nadšence do hardwaru a pracovní stanice vývojářů.
Praktická opatření pro vývojáře a držitele kryptoměn
Bezpečnostní týmy i jednotliví vývojáři by měli toto varování vnímat jako výzvu ke zpřísnění kontrol v celém softwarovém dodavatelském řetězci a na pracovních stanicích vývojářů.
Okamžité kroky
- Proveďte audit nedávných instalací npm a manifestů závislostí; odstraňte nebo nahraďte podezřelé balíčky. - Obnovte přihlašovací údaje a API klíče, které byly přítomny na potenciálně infikovaných strojích. - Zrušte a znovu vygenerujte GitHub tokeny a klíče cloudových služeb uložené na kompromitovaných hostitelích. - Zkontrolujte aktivitu peněženek a záznamy transakcí; neoprávněné operace ihned hlaste burzám.
Dlouhodobé zabezpečení
- Vyvarujte se ukládání mnemonických frází nebo soukromých klíčů na zařízeních připojených k internetu; pro úschovu upřednostněte hardwarové peněženky. - Používejte nástroje pro skenování závislostí, SBOM (software bill of materials) a podepisování balíčků k ověření artefaktů před instalací. - Izolujte vývojářská prostředí od klíčů a produkčních tajemství; zabezpečte CI/CD pomocí přístupů s nejmenšími právy. - Aktivujte endpoint detection and response (EDR), monitorování sítě pro anomalní odchozí provoz a blokujte neočekávané cesty vynášení dat, včetně zneužití cloudových či AI hostingových služeb třetích stran. - Před podepsáním ověřte všechny transakce peněženek a povolte vícefaktorové ověřování na burzách a službách pro správu klíčů.
Závěr
Poradení Microsoftu připomíná, že moderní útočníci cíleně zasahují stavitele softwaru jako zkratku k hodnotným cílům. Pro sektor kryptoměn je zásadní zabezpečit vývojářské pracovní toky, prověřovat open-source závislosti a izolovat soukromé klíče jako obranu proti npm-based RATům, cryptojackingu a dalším hrozbám v dodavatelském řetězci. Buďte ostražití: prověřujte závislosti, obměňujte exponované přihlašovací údaje a přesuňte citlivé klíče do chladného nebo hardwarového úložiště, abyste snížili riziko katastrofické ztráty.
Zdroj: crypto
Zanechte komentář