4 Minute
Atac masiv asupra NPM injectează malware în biblioteci JavaScript populare
Cercetătorii în securitate au urmărit un amplu atac asupra lanțului de aprovizionare al pachetelor Node Package Manager (NPM) care a introdus malware în biblioteci JavaScript folosite pe scară largă. Pachetele compromise, care sunt dependențe profunde în nenumărate proiecte, au fost semnalate după ce echipele de securitate au descoperit un payload orientat spre criptomonede menit să redirecționeze fonduri din portofele Ethereum și Solana.
Firma de informații crypto Security Alliance a analizat incidentul și a concluzionat că atacul este unul dintre cele mai extinse compromisuri NPM observate — pachetele afectate au, colectiv, un număr de descărcări în miliarde — dar, până acum, pierderile pentru ecosistemul crypto rămân neglijabile.
Furt minim de criptomonede până în prezent — dar expunerea a fost uriașă
În ciuda amploarei breșei, Security Alliance a raportat că atacatorii au sustras sub 50 USD în total. Raportul a identificat o adresă Ethereum probabil malițioasă, "0xFc4a48", care a primit o cantitate mică de Ether și mai multe memecoins. Telemetria timpurie a arătat pentru scurt timp chiar și cinci cenți în ETH furați înainte ca suma să urce la aproximativ 50 USD, indicând că incidentul era încă în evoluție când cercetătorii și-au publicat constatările inițiale.
Cercetătorul în securitate Samczsun, care activează sub pseudonimul SEAL, a declarat reporterilor că intrusul nu a valorificat pe deplin accesul obținut. "E ca și cum ai găsi cartela de acces la Fort Knox și ai folosi-o ca semn de carte," a spus el, menționând că malware-ul a fost, în mare parte, neutralizat de apărători.
Ce pachete și proiecte au fost afectate?
Compromiterea a vizat module utilitare larg încorporate în arborii de dependențe — pachete precum chalk, strip-ansi și color-convert. Deoarece aceste module sunt adesea incluse indirect, multe medii de dezvoltare și build-uri de producție ar fi putut fi expuse chiar dacă echipele nu au instalat acele pachete direct.
Analiza arată că atacatorii au folosit un payload de tip crypto-clipper: malware care înlocuiește discret adresele reale de portofel din clipboard-ul victimei cu adrese controlate de atacatori în timpul confirmărilor on-chain, redirecționând fondurile atunci când utilizatorul trimite o tranzacție.
Principalii furnizori de portofele raportează lipsa impactului
Mai multe portofele și platforme crypto importante au raportat că nu au fost afectate. Ledger și MetaMask au declarat că apărările lor au împiedicat exploatarea, invocând mai multe straturi de securitate. Phantom Wallet a afirmat că nu folosește versiunile vulnerabile ale pachetelor, iar Uniswap a confirmat că aplicațiile sale nu au fost în pericol. Platforme suplimentare, inclusiv Aerodrome, Blast, Blockstream Jade și Revoke.cash, au raportat, de asemenea, lipsa expunerii.
Ce ar trebui să facă acum utilizatorii și dezvoltatorii
Experții în securitate recomandă dezvoltatorilor să auditeze arborii de dependențe, să revoce și să rotească credențialele compromise și să elimine sau să actualizeze pachetele NPM afectate. Utilizatorii finali ar trebui să fie precauți când aprobă tranzacții on-chain și să evite interacțiunile cu portofele în cadrul dApp-urilor până când dezvoltatorii confirmă că pachetele au fost curățate. După cum a remarcat un fondator pseudonim al firmei de analiză DeFiLlama, doar proiectele care s-au actualizat după publicarea pachetelor malițioase — și unde utilizatorii au aprobat o tranzacție malițioasă — sunt susceptibile să fie afectate.
Deși acest incident evidențiază riscul sistemic al atacurilor asupra lanțului de aprovizionare din ecosistemul JavaScript, detectarea rapidă și răspunsul coordonat au păstrat pierderile crypto la un nivel minim. Vigilenta continuă privind igiena dependențelor, verificările de integritate a pachetelor și experiența de confirmare a tranzacțiilor în portofel rămâne esențială pentru securitatea blockchain și protejarea portofelelor crypto împotriva viitoarelor atacuri NPM.
Sursa: cointelegraph
Comentarii