Атака на поставки NPM: близкий вызов для пользователей Крипто обменов?

Одна из крупнейших криптовалютных бирж мира заверила клиентов во вторник, что данные пользователей и активы не были скомпрометированы во время того, что называют одной из крупнейших атак на цепочку поставок, когда-либо произошедшей в экосистеме JavaScript.

Согласно их заявлению в X, биржа подтвердила, что они избежали вреда во время нарушения, нацеленного на широко используемые пакеты Node.js, участвующие в более чем 2 миллиардах загрузок приложений в неделю.

“Мы знаем о недавней атаке на цепочку поставок, в результате которой были опубликованы вредоносные версии нескольких широко используемых пакетов JavaScript,” заявила компания. “После расследования мы подтвердили, что нас это не затронуло и данные или активы клиентов не находятся под угрозой.”

Сооснователь биржи отметил в социальных сетях: “Даже программное обеспечение с открытым исходным кодом в наши дни не безопасно. Web3 переопределит безопасность для Web2. Мы все еще на ранней стадии.” Это заявление кажется несколько эгоистичным - позиционируя Web3 как решение, в то время как его собственная платформа сильно зависит от традиционной веб-инфраструктуры.

Механика атаки

Атака, произошедшая 8 сентября, заключалась в том, что хакеры скомпрометировали аккаунт доверенного мейнтейнера с открытым исходным кодом “qix” (Josh Junon) через сложный фишинг. Нападающие отправили электронное письмо, выдавая себя за официальные сообщения от npmjs, предупреждая Джунона о том, что его аккаунт будет заблокирован, если он немедленно не обновит свои учетные данные двухфакторной аутентификации.

Junon признал, что стал жертвой схемы, после того как другой поддерживающий разработчик обнаружил, что его NPM аккаунт “размещает пакеты с бэкдорами.” Это позволило злоумышленникам захватить его аккаунт и внести вредоносные обновления в 18 популярных библиотеках Node.js, включая chalk, debug, ansi-styles и strip-ansi - компоненты, встроенные по всему вебу.

Крипто-целевая вредоносная программа

Анализ Aikido Security показал, что злоумышленники внедрили код, который функционировал как браузерные перехватчики. Этот вредоносный код отслеживал адреса кошельков и транзакции по основным криптовалютам, включая Bitcoin, Ethereum, Solana, Tron, Litecoin и Bitcoin Cash. Когда это обнаруживалось, вредоносное ПО незаметно заменяло адреса целевых кошельков на контролируемые злоумышленниками.

Главный технический директор производителя аппаратных кошельков Ledger отметил, что вредоносный код распространился в пакетах с более чем миллиарда загрузок - ошеломляющий охват, который мог бы опустошить крипто пользователей по всему миру.

Удивительно, но аналитическая компания в области блокчейна Arkham Intelligence сообщила, что только $159 было украдено в криптовалюте на понедельник. Однако исследователи предостерегают, что эта низкая цифра не отражает ограниченный потенциальный ущерб, учитывая миллиарды загрузок, связанных с компрометированными пакетами.

Хотя эта конкретная биржа утверждает, что избежала последствий, инцидент подчеркивает хрупкость инфраструктуры безопасности криптовалютной экосистемы. Пользователи должны задаться вопросом, действительно ли биржи полностью прозрачны в отношении своего подверженности таким широко распространенным уязвимостям, особенно когда речь идет о миллиардах активов.