4 Minutės
Didžiulis NPM pažeidimas: kenkėjiškas kodas įterptas į populiarias JavaScript bibliotekas
Saugumo tyrėjai aptiko didelę tiekimo grandinės ataką Node Package Manager (NPM) paketams, kuri įterpė kenkėjišką kodą plačiai naudojamose JavaScript bibliotekose. Sugadinti paketai, kurie yra gilios priklausomybės daugybėje projektų, buvo užfiksuoti po to, kai saugumo komandos aptiko kriptovaliutas taikantį užkrato modulį, skirtą nukreipti lėšas iš Ethereum ir Solana piniginių — grėsmė, susijusi su tiekimo grandinės atakomis ir paketų integriteto pažeidimais.
Kryptovaliutų žvalgybos įmonė Security Alliance išanalizavo incidentą ir padarė išvadą, kad tai viena plačiausių pastebėtų NPM kompromitacijų — paveiktų paketų bendras atsisiuntimų skaičius siekia milijardus — tačiau kol kas nuostoliai kriptovaliutų ekosistemoje išlieka nedideli. Incidentas pabrėžia kibernetinio saugumo svarbą JavaScript priklausomybių medžiuose ir rekomenduoja aktyvų paketų integriteto tikrinimą.
Minimalūs kripto nuostoliai iki šiol — bet poveikis buvo didžiulis
Nors pažeidimo mastas buvo didelis, Security Alliance pranešė, kad užpuolikai pavogė mažiau nei 50 USD iš viso. Pranešime nurodyta tikėtina kenksminga Ethereum adresas, "0xFc4a48", kuris gavo nedidelį kiekį Ether ir keletą memecoinų. Ankstesnė telemetrija trumpai rodė vos penkų centų vertės pavogtą ETH, prieš tai sumai išaugant iki maždaug 50 USD, kas rodo, jog incidentas buvo vis dar vystymosi stadijoje, kai tyrėjai paskelbė savo pradinius duomenis.
Saugumo tyrėjas Samczsun, veikiantis po SEAL slapyvardžiu, žurnalistams sakė, kad įsibrovėjas neišnaudojo visų turimų prieigų. "Tai panašu į raktų kortelės Fort Knox radimą ir naudojimą jos kaip knygos žymos," — sakė jis, pažymėdamas, kad kenkėjiškas kodas didžiąja dalimi buvo neutralizuotas gynybos priemonėmis.
Kurie paketai ir projektai buvo paveikti?
Kompromisas taikė naudingiesiems moduliams, plačiai įterptiems priklausomybių medžiuose — paketams, tokiems kaip chalk, strip-ansi ir color-convert. Kadangi šie moduliai dažnai įtraukiami netiesiogiai, daugelis kūrėjų aplinkų ir produkcinių build'ų galėjo būti paveikti net jei komandos niekada tiesiogiai jų neįdiegė. Šis incidentas išryškina riziką, susijusią su giliosiomis priklausomybėmis ir NPM paketų tiekimo grandinės saugumu.
Analizė rodo, kad užpuolikai įdiegė crypto-clipper užkratą: kenkėją, kuris tyliai pakeičia teisėtas piniginių adresus aukos iškarpinėje į užpuoliko valdomus adresus vykdant on-chain patvirtinimus, nukreipiant lėšas, kai vartotojas pateikia sandorį. Tokio tipo clipper malware yra itin pavojingas kriptovaliutų vartotojams ir reikalauja griežtų atsargumo priemonių bei geros piniginių UX praktikos.
Pagrindiniai piniginių tiekėjai praneša, kad poveikio nebuvo
Keli pagrindiniai kriptovaliutų piniginės ir platformos pranešė, kad jų tai nepaveikė. Ledger ir MetaMask teigė, kad jų apsauga užkardė išnaudojimą, nurodant kelis saugumo sluoksnius. Phantom Wallet teigė, kad nenaudoja pažeidžiamų paketų versijų, o Uniswap patvirtino, kad jų programėlės nebuvo rizikos zonoje. Papildomos platformos, įskaitant Aerodrome, Blast, Blockstream Jade ir Revoke.cash, taip pat pranešė apie nebuvusį poveikį. Šie pranešimai pabrėžia, kaip svarbu turėti sluoksniuotą gynybą prieš tiekimo grandinės atakas.
Ką dabar turėtų daryti vartotojai ir kūrėjai
Saugumo ekspertai pataria kūrėjams audituoti priklausomybių medžius, atšaukti ir pakeisti kompromituotus kredencialus bei pašalinti arba atnaujinti paveiktus NPM paketus. Galutiniai vartotojai turėtų būti atsargūs patvirtindami on-chain sandorius ir apsvarstyti galimybę vengti piniginės sąveikų su dApp programėlėmis, kol kūrėjai nepatvirtins, kad paketai yra išvalyti. Kaip pažymėjo anonimiškas DeFi analizės įmonės DefiLlama įkūrėjas, paveikti gali būti tik projektai, kurie atnaujino po to, kai buvo paskelbti kenksmingi paketai — ir kur vartotojai patvirtino kenkėjišką sandorį.
Nors šis incidentas pabrėžia tiekimo grandinės atakų sisteminę riziką JavaScript ekosistemoje, greitas aptikimas ir koordinuotas reagavimas sumažino kripto nuostolius iki minimumo. Nuolatinis budrumas dėl priklausomybių higienos, paketų integriteto patikrinimų ir piniginių patvirtinimo UX išlieka būtinas tinklo saugumui ir kriptovaliutų piniginių apsaugai nuo būsimų NPM atakų.
Šaltinis: cointelegraph
Palikite komentarą