4 Minutės
Naujas kryžminės platformos ModStealer vagis taikosi į naršyklių pinigines ir kūrėjų aplinkas
Saugumo tyrėjai atskleidė slaptą naują kenkėjiškų programų šeimą ModStealer, gebančią apeiti įprastas antivirusines sistemas ir nutekinti duomenis iš naršyklėse veikiančių kriptovaliutų piniginių Windows, macOS ir Linux aplinkose. Šį aptikimą paskelbė galinių taškų saugumo bendrovė Mosyle, apie tai pranešė 9to5Mac — tyrimas pabrėžia atsinaujinusią tiekimo grandinės (supply-chain) ir socialinės inžinerijos grėsmę kriptovaliutų vartotojams ir kūrėjams.
Kaip plinta ModStealer
Mosyle analizė rodo, kad atakos vektorius prasideda nuo netikrų darbo siūlytojų skelbimų, kurie specialiai taikomi kūrėjams. Laikytas pagundas yra tikslingas: kūrėjai dažnai turi įdiegtą Node.js aplinką ir su ja susijusius įrankius, todėl jie tampa patraukliais taikiniais kroviniui, kuris išnaudoja JavaScript ekosistemą. ModStealer diegimo paketas yra užklotas (obfuscated), kad apeitų parašo pagrindu veikiančią antivirusinę detekciją, o pranešimų duomenimis jis kelias savaites liko nepastebėtas kelių didžiųjų variklių.
Ką atlieka kenkėjas
Vykdant, ModStealer atlieka eilę žvalgybos ir duomenų nutekinimo veiksmų, pritaikytų kriptovaliutų ekosistemai. Jis skenuoja sistemas dėl naršyklių piniginių plėtinių, ieškodamas privačių raktų, atmintinių frazių (seed phrases), biržų API raktų ir kitų prisijungimo duomenų. Taip pat surenkami sistemų slaptažodžiai ir skaitmeniniai sertifikatai, kurie vėliau siunčiami į nuotolinius valdymo ir kontrolės (C2) serverius. Dėl daugialypės platformos dizaino ir vykdymo grandinės be aptikimo tai tampa ypač pavojinga grėsme vartotojams, naudojantiems programinės įrangos pinigines arba naršyklės plėtinius kriptovaliutų valdymui.
macOS įrenginiuose ModStealer bando įsitvirtinti užregistruodamas save kaip fono pagalbinę programą, kuri paleidžiama kiekvieną sistemos startą. Užkrėsti kompiuteriai gali turėti slaptą failą pavadinimu ".sysupdater.dat" ir užmegzti ryšius su įtartinais nuotoliniais serveriais — tai indikatoriai, kuriuos Mosyle nurodė savo pranešime.
Plačios pasekmės kriptovaliutų saugumui
Blockchain saugumo bendrovės Slowmist CISO Shān Zhang sakė Decrypt, kad ModStealer reiškia daugiau nei pavienį vagystės atvejį: masinis naršyklių plėtinių piniginių duomenų išgavimas gali leisti vykdyti didelio masto on-chain išnaudojimus ir mažinti pasitikėjimą decentralizuotomis aplikacijomis. Puolaanties prieiga prie privačių raktų arba seed frazių leidžia iš karto ištuštinti pinigines arba surengti platesnes tiekimo grandinės atakas, kompromituojančias daugelį vartotojų ir paslaugų.
Šis įspėjimas sutampa su pastaraisiais perspėjimais iš kitų saugumo komandų. Ledger CTO Charles Guillemet kėlė pavojaus signalą po to, kai buvo kompromituotas NPM kūrėjo paskyra, bandyta įkelti kenkėjiškas paketas, galinčias tyliai pakeisti piniginės adresus pervedimų metu. ReversingLabs taip pat pranešė, kad kai kurie atviro kodo paketai buvo panaudoti kampanijose, kuriose Ethereum išmanieji kontraktai buvo išnaudojami kenkėjų platinimui — sudėtinga taktika, menkinanti ribą tarp on-chain ir off-chain atakų vektorių.
Kas yra rizikoje?
Visi, naudojantys naršyklėse veikiančias pinigines, JavaScript paketų tvarkykles ar kūrėjų aplinkas, patiria padidintą riziką. Programinės įrangos piniginės ir plėtiniai yra ypač pažeidžiami, nes vienas sėkmingas kodo vykdymas arba kompromituotas paketas gali atskleisti jautrias paslaptis. Biržos ir saugojimo platformos taip pat yra jautrios, jei surenkami API raktai.
Sumažinimas ir rekomendacijos
Saugumo komandos ir individualūs kripto vartotojai turėtų imtis šių atsargumo priemonių:
- Patikrinkite įdiegtus naršyklės plėtinius ir pašalinkite nežinomus ar nereikalingus piniginių papildinius.
- Nevalgykite programinės įrangos iš nepageidaujamų darbo pasiūlymų nuorodų ar nepatvirtintų NPM paketų.
- Laikykite galinių taškų apsaugą atnaujintą ir įjunkite elgesio (behavioral) stebėjimą, o ne tik parašo pagrindu veikiančią antivirusinę apsaugą.
- Didelius kriptovaliutų kiekius laikykite aparatinėse piniginėse arba šaltoje saugykloje, ir ribokite seed frazių naudojimą prijungtuose įrenginiuose.
- Sekite kompromitacijos indikatorius, tokius kaip netikėti failai (pvz., ".sysupdater.dat") arba išeinantys ryšiai su įtartinais C2 domenais.
Mosyle ataskaita pabrėžia nuolatines rizikas kripto tiekimo grandinėje: užpuolikai derina socialinę inžineriją, užšifruotą kodą ir kryžminės platformos įtvirtinimą, kad taikytųsi į kūrėjų įrankius ir naršyklių pinigines. Vartotojai ir organizacijos turėtų manyti, kad bet koks kodo vykdymas programinės įrangos piniginės aplinkoje gali lemti tiesioginį turto praradimą, ir diegti sluoksniuotas gynybos priemones, kad sumažintų pažeidžiamumą ir pagerintų incidentų aptikimą.
Šaltinis: decrypt
Palikite komentarą