4 Minutės
Microsoft įspėja apie npm paketus, platinančius kriptovaliutų grobstymo nuotolinio priėjimo trojaną (RAT)
Microsoft paskelbė įspėjimą, kad du npm paketai buvo panaudoti diegti nuotolinio priėjimo trojaną (RAT), skirtą rinkti kriptovaliutų piniginių prisijungimo duomenis ir kitus jautrius kūrėjų slaptus duomenis. Šis radinys pabrėžia tęstinę tiekimo grandinės grėsmę, kuri taikosi į įrankius ir įrenginius, naudojamus kuriant bei valdant kripto infrastruktūrą.
Atakos detalės: užkrėsti npm paketai ir netikėta duomenų eksfiltracija
Microsoft Threat Intelligence nustatė du pažeistus npm modulius, [email protected] ir [email protected], kurie įdiegia kenkėjišką programinę įrangą, galinčią fiksuoti klavišų paspaudimus, daryti ekrano nuotraukas ir nuskaityti failus, dažnai turinčius pinigines, API raktus bei autentifikacijos žetonus. Užpuolikai vėliau panaudojo Hugging Face saugyklas pavogtiems duomenims perkelti, kas leidžia eksfiltraciją susilieti su teisėtu AI/ML srautu ir sumažinti aptikimą tradicinėmis saugumo priemonėmis.
Pažeisti npm paketai ([email protected], [email protected]) naudoja Hugging Face saugyklas kaip eksfiltracijos infrastruktūrą. Šie paketai diegia nuotolinio priėjimo trojaną (RAT), kuris fiksuoja klavišų paspaudimus, daro ekrano nuotraukas ir renka kriptovaliutų piniginių prisijungimo duomenis.
Kodėl kūrėjai ir kripto naudotojai yra rizikoje
npm yra plačiai naudojama vieša JavaScript paketų saugykla. Kai kūrėjas įdiegia pažeistą priklausomybę, kenkėjiška programinė įranga gali tyliai veikti kompiuteryje ir ieškoti vertingų artefaktų: naršyklės plėtinių piniginių, privačių raktų, atstatymo frazių failų, biržų API raktų, GitHub žetonų ir debesų paslaugų prisijungimų. Pažeisti kūrėjų įrenginiai suteikia užpuolikams tiesioginius kelius nusausinti pinigines, užgrobti prekybos sąskaitas arba įtraukti kenkėjišką kodą į gamybines aplinkas.
Tiekimo grandinės kontekstas: tai yra platesnės tendencijos dalis
Šis įspėjimas seka pastarąsias tiekimo grandinės incidentus, paveikusius kripto ir kūrėjų ekosistemas. Ankstesnės kampanijos, įskaitant TrapDoor operaciją, piktnaudžiavo paketais npm, PyPI ir Rust registruose, vogdamos prisijungimo duomenis ir prieigą prie slaptų raktų. Kiti pranešimai pabrėžė kenkėjiškus Axios leidimus ir npm paketus, kurie diegia tarpplatforminius nuotolinio priėjimo trojanus (RAT) arba paprastą crypto-js tipo kenkėją, specialiai taikomus kripto bei AI kūrėjams.
Kriptojackingas ir GPU kasybos grėsmės
Microsoft taip pat neseniai pažymėjo atskiras kampanijas, kurios naudojo užkrėstus paieškos rezultatus ir netikrus naudingųjų programų atsisiuntimus, kad nukreiptų GPU kasybos kenkėjus į didelės spartos sistemas. Šios atakos pasitelkė suklastotus diegiklius tokioms priemonėms kaip CrystalDiskInfo ir HWMonitor ir išnaudojo nuotolinio administravimo programinę įrangą, pvz., ScreenConnect, kad paleistų kriptominerius, keliančius grėsmę žaidėjams, technikos entuziastams ir kūrėjų darbo stotims.
Praktiniai apsisaugojimo žingsniai kūrėjams ir kripto turėtojams
Saugumo komandos ir atskiri kūrėjai turėtų šį įspėjimą vertinti kaip signalą sustiprinti kontrolę visoje programinės įrangos tiekimo grandinėje ir kūrėjų darbo stotyse.
Skubūs veiksmai
- Peržiūrėkite neseniai įdiegtus npm paketus ir priklausomybių manifestus; pašalinkite arba pakeiskite įtartinus paketus. - Pakeiskite (rotuokite) prisijungimus ir API raktus, kurie buvo saugomi galimai užkrėstuose įrenginiuose. - Atšaukite ir išduokite iš naujo GitHub žetonus ir debesų paslaugų raktus, saugomus pažeistuose kompiuteriuose. - Patikrinkite piniginių veiklą ir sandorių žurnalus; nedelsdami praneškite biržoms apie neautorizuotą veiklą.
Nuolatinis saugumo stiprinimas
- Venkite saugoti atstatymo frazių arba privačių raktų įrenginiuose, prijungtuose prie interneto; naudokite aparatinės pinigines (hardware wallets) saugojimui. - Naudokite priklausomybių skenavimo priemones, SBOM (programinės įrangos medžiagų sąrašus) ir paketų pasirašymą, kad patikrintumėte artefaktus prieš diegdami. - Atskirai laikykite kūrėjų aplinkas nuo raktų ir gamybinių paslapčių; užblokuokite CI/CD prieigą su mažiausiomis teisėmis. - Įjunkite galutinių taškų aptikimą ir atsaką (EDR), tinklo stebėjimą dėl neįprasto išeinančio srauto ir blokuokite netikėtas eksfiltracijos krypčių galimybes, įskaitant trečiųjų šalių debesų arba AI talpinimo platformų piktnaudžiavimą. - Patikrinkite visus piniginių sandorius prieš pasirašydami ir įjunkite daugiafaktorinę autentifikaciją biržose bei pagrindinėse paslaugose.
Išvada
Microsoft patarimas primena, kad šiuolaikiniai užpuolikai dažnai taikosi į kūrėjus, nes tai suteikia greitą prieigą prie vertingų tikslų. Kripto sektoriui saugoti svarbu užtikrinti kūrėjų darbo srautus, patikrinti atvirojo kodo priklausomybes ir izoliuoti privačius raktus, nes tai esminės gynybos prieš npm pagrindu veikiančius RAT, kriptojackingą ir kitas tiekimo grandinės grėsmes. Išlaikykite budrumą: audituokite priklausomybes, keiskite atskleistus prisijungimus ir perkelkite jautrius raktus į šaltą arba aparatinę saugyklą, kad sumažintumėte katastrofiškų nuostolių riziką.
Šaltinis: crypto
Palikite komentarą