3 Minuty
Massive NPM breach injects malware into popular JavaScript libraries
Badacze bezpieczeństwa wykryli rozległy atak na łańcuch dostaw pakietów Node Package Manager (NPM), który wstrzyknął malware do powszechnie używanych bibliotek JavaScript. Zmienione pakiety, będące głębokimi zależnościami w niezliczonych projektach, zostały oznaczone po tym, jak zespoły ds. bezpieczeństwa odkryły ładunek celujący w kryptowaluty, mający na celu przekierowanie środków z portfeli Ethereum i Solana.
Firma zajmująca się wywiadem kryptograficznym Security Alliance przeanalizowała incydent i uznała, że jest to jeden z najszerszych kompromisów NPM, jakie zaobserwowano — dotknięte pakiety mają łączne liczby pobrań sięgające miliardów — jednak jak dotąd straty w ekosystemie kryptowalut są minimalne.
Minimalne kradzieże kryptowalut do tej pory — ale ekspozycja była ogromna
Mimo skali naruszenia Security Alliance poinformowała, że atakujący ukradli łącznie mniej niż 50 USD. Raport zidentyfikował prawdopodobnie złośliwy adres Ethereum „0xFc4a48”, który otrzymał niewielką ilość Ether i kilka memecoinów. Wczesne telemetryczne dane pokazywały chwilowo zaledwie pięć centów w skradzionym ETH, zanim suma wzrosła do około 50 USD, co sugeruje, że incydent był jeszcze w toku, gdy badacze publikowali swoje pierwsze ustalenia.
Badacz bezpieczeństwa Samczsun, znany pod pseudonimem SEAL, powiedział reporterom, że włamywacz nie wykorzystał w pełni uzyskanego dostępu. „To jak znalezienie karty dostępu do Fort Knox i używanie jej jako zakładki do książki” — zauważył, dodając, że malware zostało w dużej mierze zneutralizowane przez obrońców.
Które pakiety i projekty zostały dotknięte?
Kompromis obejmował moduły narzędziowe szeroko osadzone w drzewach zależności — pakiety takie jak chalk, strip-ansi i color-convert. Ponieważ moduły te często są dołączane pośrednio, wiele środowisk deweloperskich i kompilacji produkcyjnych mogło być narażonych, nawet gdy zespoły nigdy nie instalowały tych pakietów bezpośrednio.
Analiza wykazała, że napastnicy wdrożyli payload typu crypto-clipper: malware, które potajemnie zastępuje prawidłowe adresy portfeli na schowku ofiary adresami kontrolowanymi przez atakującego podczas potwierdzeń on-chain, przekierowując środki w momencie wysyłania transakcji przez użytkownika.
Główni dostawcy portfeli raportują brak wpływu
Kilku dużych dostawców portfeli i platform kryptowalutowych zgłosiło, że nie zostało dotkniętych incydentem. Ledger i MetaMask poinformowały, że ich zabezpieczenia uniemożliwiły wykorzystanie luki, wskazując na wielowarstwowe mechanizmy ochronne. Phantom Wallet oświadczył, że nie używa podatnych wersji pakietów, a Uniswap potwierdził, że jego aplikacje nie były zagrożone. Dodatkowe platformy, w tym Aerodrome, Blast, Blockstream Jade i Revoke.cash, również zgłosiły brak ekspozycji.
Co powinni zrobić teraz użytkownicy i deweloperzy
Eksperci ds. bezpieczeństwa zalecają deweloperom audyt drzew zależności, unieważnienie i rotację skompromitowanych poświadczeń oraz usunięcie lub aktualizację dotkniętych pakietów NPM. Użytkownicy końcowi powinni zachować ostrożność przy zatwierdzaniu transakcji on-chain i rozważyć wstrzymanie interakcji portfela z dAppami, dopóki deweloperzy nie potwierdzą, że pakiety zostały oczyszczone. Jak zauważył anonimowy założyciel firmy analitycznej DeFiLlama, jedynie projekty, które zaktualizowały się po opublikowaniu złośliwych pakietów — i w których użytkownicy zatwierdzili złośliwą transakcję — są prawdopodobnie narażone na straty.
Choć ten incydent uwypukla systemowe ryzyko ataków na łańcuch dostaw w ekosystemie JavaScript, szybkie wykrycie i skoordynowana odpowiedź utrzymały straty w kryptowalutach na poziomie minimalnym. Stała czujność w zakresie higieny zależności, weryfikacji integralności pakietów oraz poprawy UX potwierdzania w portfelach pozostaje kluczowa dla bezpieczeństwa blockchain i ochrony portfeli przed przyszłymi atakami NPM.
Źródło: cointelegraph
Komentarze