世界最大級の暗号取引所の1つは、火曜日に顧客に対して、JavaScriptエコシステムにおいて史上最大のサプライチェーン攻撃の1つと呼ばれる事件の際に、ユーザーデータや資産が侵害されていないことを再確認しました。
彼らのXでの声明によると、取引所は、20億以上の週次アプリダウンロードに関与する広く使用されているNode.jsパッケージを標的とした侵害中に無事に逃れたことを確認しました。
「最近のサプライチェーン攻撃について認識しています。この攻撃では、広く使用されているいくつかのJavaScriptパッケージの悪意のあるバージョンが公開されました」と同社は述べました。「調査の結果、私たちは影響を受けておらず、顧客データや資産が危険にさらされていることはありません。」
取引所の共同創設者はソーシャルメディアで次のように述べました。「最近ではオープンソースソフトウェアさえ安全ではありません。Web3はWeb2のセキュリティを再定義するでしょう。私たちはまだ早いです。」この発言はやや自己中心的に感じられます - Web3を解決策として位置づけながら、彼自身のプラットフォームは従来のウェブインフラストラクチャに大きく依存しているからです。
9月8日に発生した攻撃は、ハッカーが信頼されたオープンソースのメンテナー「qix」(Josh Junon)のアカウントを高度なフィッシングを通じて侵害するものでした。攻撃者はnpmjsからの公式な通信を偽装したメールを送り、Junonに対して、彼のアカウントがロックされる前に直ちに二要素認証の資格情報を更新するよう警告しました。
ジュノンは、別のメンテナーが彼のNPMアカウントが「バックドアを持つパッケージを投稿している」と発見した後、このスキームの犠牲になったことを認めました。これにより、攻撃者は彼のアカウントを乗っ取り、chalk、debug、ansi-styles、strip-ansiを含む18の人気Node.jsライブラリに悪意のある更新をプッシュすることができました。これらはウェブ全体に埋め込まれたコンポーネントです。
Aikido Securityの分析によると、攻撃者はブラウザベースのインターセプターとして機能するコードを注入しました。この悪意のあるコードは、Bitcoin、Ethereum、Solana、Tron、Litecoin、Bitcoin Cashを含む主要な暗号通貨全体でウォレットアドレスと取引を監視していました。検出されると、マルウェアは静かに目的地のウォレットアドレスを攻撃者が制御するものに置き換えました。
ハードウェアウォレットメーカーLedgerの最高技術責任者は、悪意のあるコードが10億以上のダウンロードを持つパッケージに広がったと指摘しました - これは世界中の暗号ユーザーに壊滅的な影響を与える可能性のある驚くべきリーチです。
驚くべきことに、ブロックチェーン分析会社のArkham Intelligenceは、月曜日時点で$159 相当の暗号通貨が盗まれたと報告しました。しかし、研究者たちは、この低い数字が侵害されたパッケージに関連する数十億のダウンロードを考慮すると、限られた潜在的な損害を示しているわけではないと警告しています。
この特定の取引所は無傷で逃れたと主張していますが、この事件は暗号通貨エコシステムのセキュリティインフラの脆弱性を浮き彫りにしています。ユーザーは、数十億ドルの資産がかかっている場合、取引所がそのような広範な脆弱性への曝露について完全に透明であるかどうかを疑問視すべきです。
23K 人気度
134.1K 人気度
19K 人気度
4.8K 人気度
197.5K 人気度
GCAT
GDOG
芝麻开门
Gatsby
GM
NPMサプライチェーン攻撃:暗号資産取引所ユーザーにとっての危機的瞬間?
世界最大級の暗号取引所の1つは、火曜日に顧客に対して、JavaScriptエコシステムにおいて史上最大のサプライチェーン攻撃の1つと呼ばれる事件の際に、ユーザーデータや資産が侵害されていないことを再確認しました。
彼らのXでの声明によると、取引所は、20億以上の週次アプリダウンロードに関与する広く使用されているNode.jsパッケージを標的とした侵害中に無事に逃れたことを確認しました。
「最近のサプライチェーン攻撃について認識しています。この攻撃では、広く使用されているいくつかのJavaScriptパッケージの悪意のあるバージョンが公開されました」と同社は述べました。「調査の結果、私たちは影響を受けておらず、顧客データや資産が危険にさらされていることはありません。」
取引所の共同創設者はソーシャルメディアで次のように述べました。「最近ではオープンソースソフトウェアさえ安全ではありません。Web3はWeb2のセキュリティを再定義するでしょう。私たちはまだ早いです。」この発言はやや自己中心的に感じられます - Web3を解決策として位置づけながら、彼自身のプラットフォームは従来のウェブインフラストラクチャに大きく依存しているからです。
攻撃メカニクス
9月8日に発生した攻撃は、ハッカーが信頼されたオープンソースのメンテナー「qix」(Josh Junon)のアカウントを高度なフィッシングを通じて侵害するものでした。攻撃者はnpmjsからの公式な通信を偽装したメールを送り、Junonに対して、彼のアカウントがロックされる前に直ちに二要素認証の資格情報を更新するよう警告しました。
ジュノンは、別のメンテナーが彼のNPMアカウントが「バックドアを持つパッケージを投稿している」と発見した後、このスキームの犠牲になったことを認めました。これにより、攻撃者は彼のアカウントを乗っ取り、chalk、debug、ansi-styles、strip-ansiを含む18の人気Node.jsライブラリに悪意のある更新をプッシュすることができました。これらはウェブ全体に埋め込まれたコンポーネントです。
暗号通貨標的型マルウェア
Aikido Securityの分析によると、攻撃者はブラウザベースのインターセプターとして機能するコードを注入しました。この悪意のあるコードは、Bitcoin、Ethereum、Solana、Tron、Litecoin、Bitcoin Cashを含む主要な暗号通貨全体でウォレットアドレスと取引を監視していました。検出されると、マルウェアは静かに目的地のウォレットアドレスを攻撃者が制御するものに置き換えました。
ハードウェアウォレットメーカーLedgerの最高技術責任者は、悪意のあるコードが10億以上のダウンロードを持つパッケージに広がったと指摘しました - これは世界中の暗号ユーザーに壊滅的な影響を与える可能性のある驚くべきリーチです。
驚くべきことに、ブロックチェーン分析会社のArkham Intelligenceは、月曜日時点で$159 相当の暗号通貨が盗まれたと報告しました。しかし、研究者たちは、この低い数字が侵害されたパッケージに関連する数十億のダウンロードを考慮すると、限られた潜在的な損害を示しているわけではないと警告しています。
この特定の取引所は無傷で逃れたと主張していますが、この事件は暗号通貨エコシステムのセキュリティインフラの脆弱性を浮き彫りにしています。ユーザーは、数十億ドルの資産がかかっている場合、取引所がそのような広範な脆弱性への曝露について完全に透明であるかどうかを疑問視すべきです。