Атака на мережу постачання NPM: близька небезпека для користувачів криптообмінників?

Одна з найбільших крипто бірж світу запевнила клієнтів у вівторок, що жодні дані користувачів або активи не були скомпрометовані під час того, що називають одним з найбільших атак на ланцюг постачань, які коли-небудь вражали екосистему JavaScript.

Згідно з їхньою заявою в X, біржа підтвердила, що вони втекли неушкодженими під час порушення, яке торкнулося широко використовуваних пакетів Node.js, пов'язаних із більш ніж 2 мільярдами тижневих завантажень додатків.

“Ми знаємо про нещодавню атаку на ланцюг постачання, яка опублікувала шкідливі версії кількох широко використовуваних пакетів JavaScript,” заявила компанія. “Після розслідування ми підтвердили, що нас це не торкнулося, і жодні дані або активи клієнтів не під загрозою.”

Співзасновник біржі зазначив у соціальних мережах: “Навіть програмне забезпечення з відкритим кодом не є безпечним у ці дні. Web3 переосмислить безпеку для Web2. Ми все ще на ранній стадії.” Ця заява відчувається дещо егоїстично - позиціонуючи Web3 як рішення, тоді як його власна платформа сильно залежить від традиційної веб-інфраструктури.

Механіка атаки

Атака, що сталася 8 вересня, полягала в компрометації облікового запису довіреного підтримувача з відкритим кодом “qix” (Josh Junon) через складну фішинг-атаку. Зловмисники надіслали електронний лист, видаючи себе за офіційні повідомлення від npmjs, попереджаючи Джунона, що його обліковий запис буде заблоковано, якщо він терміново не оновить свої облікові дані двофакторної автентифікації.

Junon визнав, що став жертвою схеми після того, як інший підтримувач виявив, що його обліковий запис NPM “публікує пакунки з бекдорами.” Це дозволило зловмисникам захопити його обліковий запис і відправити шкідливі оновлення до 18 популярних бібліотек Node.js, включаючи chalk, debug, ansi-styles та strip-ansi - компоненти, вбудовані в Інтернет.

Крипто-цільове ПЗ

Аналіз Aikido Security виявив, що зловмисники ввели код, який функціонує як інтерсептори на базі браузера. Цей шкідливий код моніторив адреси гаманців та транзакції в основних криптовалютах, включаючи Bitcoin, Ethereum, Solana, Tron, Litecoin та Bitcoin Cash. Коли це було виявлено, шкідливе ПЗ тихо замінювало адреси гаманців призначення на контрольовані зловмисниками.

Головний технологічний директор виробника апаратних гаманців Ledger зазначив, що шкідливий код поширився в пакетах з більш ніж мільярдом завантажень - приголомшливий охоплення, яке могло б знищити крипто-користувачів усього світу.

На диво, аналітична фірма blockchain Arkham Intelligence повідомила, що тільки $159 вартості криптовалюти було вкрадено станом на понеділок. Тим не менш, дослідники застерігають, що ця низька цифра не відображає обмежену потенційну шкоду, враховуючи мільярди завантажень, пов'язаних із скомпрометованими пакетами.

Хоча ця конкретна біржа стверджує, що залишилася неушкодженою, інцидент підкреслює крихкість інфраструктури безпеки екосистеми криптовалют. Користувачі повинні сумніватися, чи біржі є повністю прозорими щодо їхнього впливу на такі широкомасштабні вразливості, особливо коли мова йде про мільярди активів.