Атака на цепочку поставок затронула крупные криптовалютные библиотеки
Крупная атака на цепочку поставок в JavaScript скомпрометировала сотни программных пакетов, включая как минимум 10, широко используемых в криптовалютной экосистеме, согласно новому исследованию компании по кибербезопасности Aikido Security.
В сообщении от понедельника Чарли Эриксен, исследователь из Aikido Security, поделился названиями более 400 пакетов, которые показывают признаки заражения самовоспроизводящимся вредоносным программным обеспечением “Shai Hulud”, используемым в продолжающейся атаке на цепочку поставок библиотек JavaScript NPM. Эриксен отметил, что проверил каждое обнаружение, чтобы избежать ложных срабатываний.
Многие из пакетов, связанных с криптовалютой, получают десятки тысяч загрузок в неделю и имеют множество других пакетов, которые зависят от них для работы. В опубликованном сегодня сообщении в X Эриксен также предупредил команду Ethereum Name Service (ENS), что несколько их пакетов подверглись атаке.
Shai Hulud является частью более широкой тенденции атак на цепочку поставок. В начале сентября, самая крупная атака на NPM, зарегистрированная на сегодняшний день, позволила хакерам украсть только $50 миллионов в криптовалюте. Amazon Web Services отметили, что эта первая атака была последована автономным распространением червя Shai-Hulud всего через неделю.
Хотя предыдущая атака была направлена непосредственно на кражу криптовалютных активов, Shai-Hulud является универсальным вредоносным программным обеспечением для кражи учетных данных, которое распространяется автоматически по разработческой инфраструктуре. Если в зараженной среде есть ключи кошелька, вредоносная программа украдет их как “секреты”, как и любые другие учетные данные.
Какие криптовалютные пакеты пострадали?
Среди всех пораженных пакетов как минимум 10 были связаны с индустрией криптовалют, и практически все были связаны с ENS, службой именования адресов в читаемом человеком формате. Среди пострадавших пакетов — content-hash ENS, с почти 36,000 загрузок в неделю, и 91 программный пакет, зависящий от него, а также address-encoder, с более 37,500 загрузок в неделю.
Другие пострадавшие пакеты ENS включают ensjs (более 30,000 загрузок в неделю), ens-validation (1,750 загрузок в неделю), ethereum-ens (12,650 загрузок в неделю) и ens-contracts (почти 3,100 загрузок в неделю). Пакет, связанный с криптовалютой, не относящийся к ENS, называемый crypto-addr-codec, также был скомпрометирован, с почти 35,000 загрузок.
Популярные не связанные с криптовалютой пакеты, подвергшиеся атаке
Среди пакетов, не связанных с криптовалютой, которые подверглись атаке, есть некоторые, предложенные корпоративной автоматизационной платформой Zapier, включая один с более чем 40,000 загрузок в неделю и многие не отстают. В последующем сообщении Эриксен указал на другие инфицированные пакеты, некоторые с почти 70,000 загрузок в неделю, а также на другой пакет, получающий значительно более 1.5 миллиона загрузок в неделю.
“Масштаб этой новой атаки Shai Hulud, честно говоря, огромен; мы все еще работаем над очередью, чтобы все подтвердить,” написал Эриксен в сообщении в X.
“Это сделает предыдущую атаку незначительной.”
Исследователи из компании по кибербезопасности Wiz заявили, что заметили “более 25,000 пораженных репозиториев у около 350 уникальных пользователей, 1,000 новых репозиториев добавляются стабильно каждые 30 минут в последние несколько часов.” Компания рекомендует “немедленное расследование и корректировку” для любой среды, использующей npm.