Згідно з новим дослідженням фірми з кібербезпеки Aikido Security, масштабна атака на ланцюжок поставок JavaScript скомпрометувала сотні програмних пакетів, у тому числі щонайменше 10, які широко використовуються в екосистемі криптовалют.
У понеділковій публікації Чарлі Еріксен, дослідник Aikido Security, поділився іменами понад 400 пакетів, які мають ознаки зараження самовідтворюваним шкідливим програмним забезпеченням «Shai Hulud», яке використовується в поточній атаці на ланцюжок поставок JavaScript NPM Library. Еріксен сказав, що перевіряв кожне виявлення, щоб уникнути помилкових спрацьовувань.
Багато пакетів, пов’язаних із криптовалютою, отримують десятки тисяч завантажень на тиждень і мають багато інших пакетів, які вимагають їх функціонування. У дописі X, опублікованому раніше сьогодні, Еріксен також попередив команду служби імен Ethereum (ENS), що це стосується кількох їхніх пакетів.
Shai Hulud є частиною ширшої тенденції атаки на ланцюг поставок. На початку вересня під час найбільшої атаки NPM, про яку повідомлялося на сьогодні, хакери вкрали лише 50 мільйонів доларів криптовалюти. У Amazon Web Services відзначили, що після цієї першої атаки хробак Shai-Hulud поширився автономно всього через тиждень.
Хоча попередня атака була спрямована безпосередньо на криптовалюту для крадіжки активів, Shai-Hulud — це зловмисне програмне забезпечення загального призначення для крадіжки облікових даних, яке автономно поширюється через інфраструктуру розробника. Якщо заражене середовище містить ключі гаманця, зловмисне програмне забезпечення викраде їх як «секрети», як і будь-які інші облікові дані.
За темою: збій експлойту NPM підкреслює загрозу безпеці криптовалюти: Exec
Які пакети криптовалюти це стосується?
Серед усіх постраждалих пакетів принаймні 10 були конкретно пов’язані з криптовалютною індустрією, і майже всі були пов’язані з ENS, службою адресних імен, зрозумілих людині. Серед пакетів, які постраждали, є content-hash ENS з майже 36 000 завантажень щотижня та 91 пакет програмного забезпечення, що залежить від нього, а також address-encoder з понад 37 500 завантаженнями щотижня.
Серед інших постраждалих пакетів ENS — ensjs (понад 30 000 завантажень на тиждень), ens-validation (1750 завантажень на тиждень), ethereum-ens (12 650 завантажень на тиждень) і ens-contracts (майже 3100 завантажень на тиждень). Пакет, пов’язаний з криптовалютою, не пов’язаний з ENS, під назвою crypto-addr-codec, також був зламаний, його було завантажено майже 35 000 разів.
За темою: 27 мільйонів доларів втрачено, закриті ключі не розкриті: як стався злом BigONE
Постраждали популярні некриптовалютні пакети
Пакунки, не пов’язані з криптовалютою, які стосуються цієї проблеми, включають деякі, запропоновані корпоративною платформою автоматизації Zapier, включно з пакетом із понад 40 000 завантажень на тиждень, багато з яких не відстають. У наступному дописі Еріксен вказав на інші заражені пакунки, деякі з яких мали майже 70 000 завантажень на тиждень, а також на інший пакет, який мав понад 1,5 мільйона завантажень на тиждень.
«Масштаби цієї нової атаки Shai Hulud є відверто масштабними; ми все ще працюємо над чергою, щоб підтвердити все», — написав Еріксен на X.
«Це зробить попередній напад схожим на ніщо».
Дослідники з фірми з кібербезпеки Wiz стверджують, що «помітили понад 25 000 уражених репозиторіїв у ~350 унікальних користувачів, 1000 нових сховищ постійно додаються кожні 30 хвилин протягом останніх кількох годин». Компанія рекомендує «негайне дослідження та виправлення» для будь-якого середовища, що використовує npm.
