Новий хак NPM мережі постачання загрожує безпеці ENS та Криптовалюти

Велика атака на постачальницький ланцюг націлена на Крипто-пов'язані програмні пакети

Значна атака на постачальницький ланцюг JavaScript скомпрометувала понад 400 програмних пакетів, включаючи щонайменше 10, які широко використовуються в екосистемі крипто. Порушення було виявлено компанією Aikido Security, підкреслюючи еволюцію загроз, з якими стикаються розробники та користувачі.

У детальному блозі дослідник Чарлі Еріксен окреслив обсяг інфекції, визначивши пакунки, інфіковані шкідливим ПЗ «Shai Hulud» — автономним, самореплікуючим штамом, призначеним для розповсюдження в середовищах розробників. Еріксен підтвердив дійсність кожного виявлення, щоб запобігти хибним спрацьовуванням. Багато з цих пакунків відповідають за критичні функції, деякі з яких отримують десятки тисяч завантажень щотижня, підкреслюючи потенційний широкий вплив.

Особливе занепокоєння викликають уражені пакунки, пов'язані з Ethereum Name Service (ENS), які полегшують використання зрозумілих для людини адрес блокчейну. Серед них виділяються content-hash ENS, з майже 36 000 завантажень на тиждень, та address-encoder, з понад 37 500 завантажень на тиждень. Інші пакунки ENS, такі як ensjs, ens-validation, ethereum-ens та ens-contracts, також були скомпрометовані. Окремий пакунок, crypto-addr-codec, який не пов'язаний з ENS, з майже 35 000 завантажень на тиждень, також зазнав впливу.

Джерело: Чарлі Еріксен

Цей інцидент є частиною більш широкої тенденції атак на ланцюги постачання. У вересні найбільша атака на NPM на сьогодні призвела до приблизно $50 мільйона, вкрадених з криптоактивів. Amazon Web Services підкреслили, що цей інцидент був супроводжений поширенням черв'яка Shai-Hulud, який реплікував себе в середовищах після початкового вторгнення.

На відміну від попередніх цілеспрямованих крадіжок, Shai Hulud в основному діє як викрадач облікових даних, автономно поширюючись і збираючи ключі гаманців та інші секрети, що зберігаються в заражених середовищах. Ця можливість становить значну загрозу для безпеки Крипто-активів, якщо такі секрети зберігаються ненадійно.

Обсяг постраждалих пакетів

Серед постраждалих пакетів принаймні 10 безпосередньо пов'язані з функціями крипто, переважно пов'язані з екосистемою ENS. Пакети, такі як content-hash, з майже 36 000 завантажень на тиждень, та address-encoder, які перевищують 37 500 завантажень, є критично важливими компонентами, які використовуються розробниками для обробки адрес і розв'язання імен. Інші ключові пакети, на які вплинули, включають ensjs, ens-validation, ethereum-ens та ens-contracts.

Окрім крипто, кілька некрипто пакетів були скомпрометовані, включаючи популярні інструменти від Zapier, такі як @zapier/secret-scrubber, з понад 40,000 щотижневих завантажень. Еріксен попередив, що уражені пакети з високими обсягами завантажень, деякі з яких наближаються до 70,000 щотижневих завантажень, підкреслюють широке поширення шкідливого ПЗ.

Дослідники з Wiz оцінюють, що понад 25 000 репозиторіїв серед сотень користувачів були під впливом, з новими скомпрометованими репозиторіями, які додаються кожні 30 хвилин. Спільнота з кібербезпеки закликає до негайних розслідувань та заходів з відновлення для будь-якого середовища, що використовує пакети npm.

Ця стаття спочатку була опублікована як Новий злом постачання NPM загрожує безпеці ENS та Крипто валют на Крипто Новини – ваш надійний джерело новин про крипто, новин про біткойн та оновлень блокчейну.