Autor der Nachricht: Crypto Emergency
Das Material ist informativ und stellt keine Sicherheitsberatung dar. Entwickler sollten dringend ihre Abhängigkeiten überprüfen.
Was ist passiert?
Hacker haben das NPM-Paket-Registry – die größte Plattform zur Verbreitung von JavaScript-Bibliotheken – gehackt und schädlichen Code in 18 beliebten Paketen integriert. Ziel des Angriffs: Diebstahl von Kryptowährungen durch das Fälschen von Wallet-Adressen und das Abfangen von Transaktionen im Browser.
Laut Aikido Security begann der Angriff mit einer Phishing-E-Mail, die an einen der Hauptbetreuer mit dem Pseudonym qix gerichtet war. Die Angreifer erhielten Zugang zu seinem Konto und begannen, infizierte Versionen von Bibliotheken zu veröffentlichen. Als der Entwickler versuchte, die schädlichen Pakete zu entfernen, verlor er den Zugang zum Konto.
Wie funktioniert der schädliche Code?
Die Malware betrifft keine Server oder Entwicklungsumgebungen. Sie wird auf der Client-Seite – im Browser – aktiviert und:
- Überwacht Web3-Aktivitäten
- Täuscht Adressen von Krypto-Wallets vor
- Schreibt Transaktionsziele um
- Zeigt eine korrekte Schnittstelle an, leitet aber Mittel an die Adressen von Hackern weiter
Welche Pakete wurden kompromittiert?
Unter den kompromittierten sind Bibliotheken, die in praktisch jedem zweiten JavaScript-Projekt verwendet werden.
Das Gesamtvolumen der Downloads dieser Pakete beträgt über 2 Milliarden pro Woche2.
Wie wurde der Angriff entdeckt?
Das Überwachungssystem Aikido hat verdächtige Updates von seit langem inaktiven Paketen festgestellt. Beispielsweise erhielt die Bibliothek is-arrayish, die seit über 5 Jahren nicht aktualisiert wurde, plötzlich eine neue Version mit obfuskiertem schädlichem Code.
Empfehlungen für Entwickler
Dringend Abhängigkeiten überprüfen und auf sichere Versionen zurücksetzen
Verwenden Sie Werkzeuge zur Überwachung der Lieferkette
Vermeiden Sie automatische Updates ohne Überprüfung
Transaktionen sorgfältig überwachen, wenn die Anwendung mit Kryptowährungen arbeitet
Parallele Angriffe
Gleichzeitig mit dem Vorfall bei NPM berichteten Analysten von PeckShield über den Hack der dezentralen Plattform Nemo Protocol auf der Sui-Blockchain. Die Verluste beliefen sich auf 2,4 Millionen USD.