3 Minuty
Obrovský průnik do NPM injektuje malware do populárních knihoven JavaScriptu
Bezpečnostní výzkumníci zaznamenali rozsáhlý útok na dodavatelský řetězec balíčků Node Package Manager (NPM), který vložil malware do široce používaných knihoven JavaScriptu. Pozměněné balíčky, které jsou hlubokými závislostmi v nespočtu projektů, byly odhaleny poté, co bezpečnostní týmy objevily payload zaměřený na kryptoměny, jehož cílem bylo přesměrovat prostředky z peněženek Ethereum a Solana.
Firma pro kryptoměnovou inteligenci Security Alliance incident analyzovala a dospěla k závěru, že útok patří mezi nejrozsáhlejší kompromitace NPM, jaké byly pozorovány — postižené balíčky mají dohromady miliardové počty stažení — ale doposud jsou ztráty v kryptoměnovém ekosystému zanedbatelné.
Dosavadní minimální krádeže krypta — ale expozice byla obrovská
Navzdory rozsahu průniku Security Alliance uvedla, že útočníci odcizili méně než 50 USD celkem. Zpráva identifikovala pravděpodobně škodlivou adresu Ethereum "0xFc4a48", která obdržela malé množství Etheru a několik memecoinů. Původní telemetry krátce vykazovaly pouhých pět centů ukradeného ETH, než částka vzrostla na přibližně 50 USD, což naznačuje, že incident se vyvíjel v době, kdy výzkumníci zveřejnili své první zjištění.
Bezpečnostní výzkumník Samczsun, působící pod přezdívkou SEAL, novinářům řekl, že vetřelec nevyužil plně přístup, který získal. "Je to jako najít přístupovou kartu do Fort Knoxu a používat ji jako záložku," uvedl a dodal, že malware byl do značné míry neutralizován obranou.
Které balíčky a projekty byly zasaženy?
Kompromitace se zaměřila na utilitní moduly široce zabudované v závislostních stromech — balíčky jako chalk, strip-ansi a color-convert. Protože jsou tyto moduly často zahrnuty nepřímo, mohl být vystaven mnoho vývojářských prostředí a produkčních sestavení i v případech, kdy týmy tyto balíčky přímo neinstalovaly.
Analýza ukazuje, že útočníci nasadili payload typu crypto-clipper: malware, který tiše nahrazuje legitimní adresy peněženek ve schránce oběti adresami ovládanými útočníky při potvrzení transakcí na řetězci, čímž přesměrovává prostředky, když uživatel odešle transakci.
Hlavní poskytovatelé peněženek hlásí žádný dopad
Několik předních kryptopeněženek a platforem oznámilo, že nebyly zasaženy. Ledger a MetaMask uvedly, že jejich obranné mechanismy zabránily zneužití a poukázaly na více vrstev zabezpečení. Phantom Wallet sdělil, že nepoužívá zranitelné verze balíčků a Uniswap potvrdil, že jeho aplikace nebyly ohroženy. Další platformy včetně Aerodrome, Blast, Blockstream Jade a Revoke.cash také nahlásily žádnou expozici.
Co by měli nyní dělat uživatelé a vývojáři
Bezpečnostní experti radí vývojářům prověřit strom závislostí, odvolat a otočit kompromitované přihlašovací údaje a odstranit nebo aktualizovat postižené balíčky NPM. Koncoví uživatelé by měli být opatrní při schvalování on-chain transakcí a zvážit vyhnutí se interakcím s dApp, dokud vývojáři nepotvrdí, že balíčky jsou očištěné. Jak uvedl pseudonymní zakladatel analytické DeFi firmy DefiLlama, ohroženy budou pravděpodobně pouze projekty, které aktualizovaly po publikování škodlivých balíčků — a kde uživatelé schválili škodlivou transakci.
I když tento incident zdůrazňuje systémové riziko útoků na dodavatelský řetězec v ekosystému JavaScriptu, rychlá detekce a koordinovaná reakce udržely ztráty krypta na minimu. Nadále je nezbytná ostražitost ohledně hygieny závislostí, kontrol integrity balíčků a uživatelského rozhraní pro potvrzení v peněženkách, aby byla zajištěna bezpečnost blockchainu a ochrana kryptopeněženek před budoucími útoky na NPM.
Zdroj: cointelegraph
Komentáře