6 Minutės
Skubus įspėjimas Ethereum ir Binance Smart Chain vartotojams
Saugumo tyrėjai iš Cisco Talos identifikavo su Šiaurės Korėja susijusią kibernetinės nusikalstamos veiklos kampaniją, kuri naudoja kenkėjiškų programų šeimą, žymimą kaip OtterCookie/BeaverTrail, siekdama pavogti lėšas ir prisijungimo duomenis iš Ethereum bei Binance Smart Chain (BSC) vartotojų. Grėsmės veikėjai platina šį kenkėją per netikrą kriptovaliutų programėlę ir piktybinį npm paketą, taip gaudami galimybę pavogti privačius raktus, keityklės istoriją, iškarpų srities (clipboard) turinį, ekrano kopijas ir naršyklės piniginių duomenis, tokius kaip MetaMask.
Tyrime nurodoma, kad OtterCookie/BeaverTrail veikimo mechanika yra orientuota į tiek privačių raktų tiesioginį išsaugojimą, tiek į aplinką, kurioje vartotojas leidžia vykdyti nepatikrintą ar anoniminį JavaScript kodą. Tokios atakos ypač pavojingos decentralizuoto finansų (DeFi) ekosistemai, nes leidžia kenkėjams greitai gauti prieigą prie išplėstinių leidimų (token approvals) ir ištuštinti hot pinigines.
Pastebimos aukos dažnai yra programuotojai, projektų vykdytojai arba vartotojai, prisijungiantys prie atvirų šaltinių paketų be tinkamos patikros. OtterCookie/BeaverTrail kampanijos pavyzdžiai parodo, kaip tiek tiekimo grandinės atakos (supply chain attacks), tiek socialinės inžinerijos metodai gali būti naudojami siekiant pritraukti aukas į paleisti piktybinį kodą. Tokios atakos pabrėžia kripto piniginių saugumo, MetaMask saugos nustatymų ir npm paketų patikimumo svarbą.
Kaip veikia ataka
Atakų scenarijus dažniausiai prasideda nuo socialinės inžinerijos — aukos viliojamos suklastotais darbo pasiūlymais, netikrais projektais arba „too good to be true“ pasiūlymais, kuriais skatinama atsisiųsti programinę įrangą arba paleisti pateiktą JavaScript kodą. Kai vartotojas arba kūrėjas vykdo obfuskacinį („suglumintą“) JavaScript iš nepatikimo šaltinio, OtterCookie/BeaverTrail ima diegti komponentus ir rinkti jautrius duomenis.
Techniniai veikimo elementai apima clipboard monitoringo modulius, ekrano fiksavimo funkcijas, failų surinkimą ir naršyklės duomenų išgavimą. Naršyklės piniginių (pvz., MetaMask) duomenys gali būti pasiekiami per naršyklės plėtinių duomenų katalogus arba per aktyvių sesijų duomenis; kenkėjas taip pat gali stebėti window.ethereum objektą ar kitus Web3 API, ieškodamas prisijungimo ar parakų veiksmų metu. Be to, piktybiniai npm paketai gali turėti postinstall scenarijus arba atverti anglų kalbos terminalo komandų grandines, kurios vykdo tolesnį kodą arba užkrauna modulį, sukuriantį nuolatinę prieigą prie sistemos.
Grobiamų duomenų eksfiltravimas dažnai realizuojamas per užpuolikų valdomus serverius — C2 (command-and-control) infrastruktūrą, naudojant HTTPS ar užšifruotus tunelius, siekiant apeiti saugumo priemones. Kai kurie egzemplioriai naudoja šifravimo raktus arba „obfuscation“ technikas, kad būtų sunkiau aptikti. Atakos vektorius — leidimas vykdyti nežinomą arba anoniminį kodą pagrindinėje sistemoje — išlieka pagrindine prieiga prie vartotojo piniginių ir duomenų pasisavinimo kampanijai.
Taip pat pastebėta, kad kenkėjai siekia išlaikyti perėjimo taškus (persistence) sistemoje per paleidimo įrašus, suplanuotus užduočių vykdymo mechanizmus (Scheduled Tasks), naujus servisus arba pakeistus autostart įrašus. Tai leidžia jiems išlikti sistemoje net po operatyvių šalinimo bandymų, todėl ekspertais rekomenduojamas sistemos perrašymas (reinstall) kaip patikimiausia prevencinė priemonė rimtesnėse užkrėtimų situacijose.
Skubūs veiksmai potencialioms aukoms
Jeigu įtariate, kad buvote paveiktas, laikykite, kad bet kuri „hot" piniginė (privataus rakto prisijungimo aplinka arba piniginės plėtinys naršyklėje) yra kompromituota. Pirmieji skubūs žingsniai turėtų būti:
- Perkelkite likusias lėšas į saugią piniginę — pageidautina į hardware (šaltinę) piniginę arba į naują švarų įrenginį, kuris nebuvo naudojamas vykdyti anoniminį kodą.
- Atšaukite (revoke) visus senus token leidimus. Naudokite įrankius kaip Etherscan, BscScan ar Revoke.cash, kad peržiūrėtumėte ir atšauktumėte prieigas suteiktas inteligentiniams kontraktams.
- Keiskite visus slaptažodžius. Tai apima el. pašto, piniginių administravimo įrankių, paskyrų paslaugas ir kitus susijusius prisijungimus. Naudokite stiprius, unikalius slaptažodžius bei slaptažodžių tvarkytuvus (password managers).
- Įjunkite daugialypę autentifikaciją (MFA) visur, kur tai įmanoma.
- Apsvarstykite operacinės sistemos visišką perrašymą (reinstall) arba įdiekite švarų saugumo vaizdą. Tai rekomenduojama, nes kai kurios kenkėjiškos programos diegia nuolatinio veikimo komponentus, kuriuos sunku pašalinti vien antivirusine programa.
- Patikrinkite ir išvalykite naršyklės plėtinius bei node_modules katalogus. Pašalinkite bet kokius nepažįstamus ar neseniai įdiegtus paketus.
- Jei įmanoma, atlikite forenzinę analizę arba kreipkitės į saugumo specialistus, kad nustatytų kompromitacijos mastą ir galimus užkrėtimo taškus.
Be šių veiksmų, svarbu kontroliuoti iškarpų sritį (clipboard hygiene) — neįklijuokite privačių raktų ar seed frazių į bet kokias programėles ar naršykles. Naudokite hardware pinigines arba peržiūrėtus saugius procesus seed frazių atkūrimui. Jei jau yra įtarimas, kad seed frazė galėjo būti atskleista, laikykite, kad ji kompromituota ir generuokite naują piniginę bei perkelkite lėšas kuo greičiau.
Prevencija ir geriausios praktikos
Apsaugokite save laikydamiesi kelių kertinių saugumo principų, kurie sumažins riziką tapti panašių kampanijų auka:
- Atsargumas su npm paketais: neįdiekite nepatikrintų arba anoniminių npm paketų savo pagrindinėje sistemoje. Prieš diegiant patikrinkite paketų autoriaus reputaciją, atsisiuntimų skaičių, atsiliepimus ir, jei įmanoma, peržiūrėkite šaltinio kodą arba naudokite lockfiles (package-lock.json) bei priklausomybių auditą (npm audit).
- Atskirti darbai: naudokite atskiras sistemas arba virtualias mašinas (VM) programavimo darbams ar paketų testavimui, o pagrindinę piniginę operacijoms palikite tik švarioje, saugioje aplinkoje.
- Hardware piniginės ir multisig: saugokite dideles sumas hardware piniginėse arba naudokite multisig sprendimus, kuriems reikalingas kelių šalių patvirtinimas sandoriams. Tai žymiai sumažina automatinio išnaudojimo riziką.
- Reguliarus leidimų auditas: periodiškai tikrinkite suteiktus smart contract leidimus (approvals) ir sumažinkite jų sumas iki minimalių reikalingų. Saugokite „permanent“ approvals ir nustatykite žemo laikymo riziką keliantiems kontraktams.
- Programinės įrangos atnaujinimai: palaikykite operacinę sistemą, naršykles ir piniginių plėtinius atnaujintus; tiek saugumo pataisos, tiek naršyklių apsaugos sprendimai dažnai uždaro galimus kenkėjų naudojamus išnaudojimus.
- Tikrinkite atsisiuntimų autentiškumą: atsisiųskite piniginių programas tik iš oficialių svetainių ar patikrintų parduotuvių, tikrinkite programų skaitmeninius parašus ir, jei pateikiami, MD5/SHA sumų kontrolę.
- Naudokite sandboxes ir statinę analizę: prieš vykdydami trečiųjų šalių skriptus, atlikite statinę kodo analizę arba paleiskite juos izoliuotoje aplinkoje.
- Stebėkite tinklo veiklą: nustatykite įspėjimus dėl neįprastų ryšių arba pakilusio duomenų siuntimo srauto iš jūsų kompiuterio; tokius požymius gali sukelti duomenų eksfiltravimas į užpuoliko serverius.
SEO ir naudingos saugumo praktikos: naudodami raktažodžius kaip "Ethereum saugumas", "Binance Smart Chain saugumas", "MetaMask apsauga", "kripto piniginių saugumas", "ottercookie" ir "beavertrail" savo vidaus ar viešosiose saugos ataskaitose padėsite auditorijai greičiau rasti aktualią informaciją apie grėsmes ir prevencines priemones.
Galiausiai, svarbu pabrėžti komunikaciją: sinchronizuokite veiksmus su komandos nariais, informuokite partnerius ir, jei reikia, praneškite apie incidentą atitinkamoms institucijoms ar saugumo platformoms. Greitas reagavimas ir skaidri komunikacija leidžia sumažinti žalą bei užkirsti kelią tolesniam lėšų praradimui.
Jei norite gilintis toliau, rekomenduojama sekti Cisco Talos ir kitų gerai žinomų tyrimų grupių (pvz., Mandiant, ESET, CrowdStrike) atnaujinimus, kuriuose pateikiami IOC (Indicators of Compromise), C2 infrastruktūros IP adresai, domenai ir kiti techniniai indikatoriai, kuriuos galima naudoti apžiūrai ir blokavimui jūsų tinkle.
Šaltinis: smarti
Palikite komentarą