Una nuova minaccia di hacking della catena di approvvigionamento NPM minaccia la sicurezza di ENS e delle criptovalute
Un attacco significativo alla catena di approvvigionamento JavaScript ha compromesso oltre 400 pacchetti software, inclusi almeno 10 ampiamente utilizzati all'interno dell'ecosistema delle criptovalute. La violazione è stata scoperta dalla società di cybersecurity Aikido Security, evidenziando il panorama delle minacce in evoluzione affrontato da sviluppatori e utenti.
In un dettagliato post sul blog, il ricercatore Charlie Eriksen ha delineato l'ambito dell'infezione, identificando i pacchetti infetti con il malware “Shai Hulud”—una ceppo autonomo e auto-replicante progettato per diffondersi negli ambienti di sviluppo. Eriksen ha confermato la validità di ciascuna rilevazione per prevenire falsi positivi. Molti di questi pacchetti sono responsabili di funzioni critiche, con alcuni che ricevono decine di migliaia di download settimanali, sottolineando l'impatto potenziale diffuso.
Di particolare preoccupazione sono i pacchetti interessati associati al Ethereum Name Service (ENS), che facilitano indirizzi blockchain leggibili dall'uomo. Notevoli tra questi sono l'hash del contenuto di ENS, con quasi 36.000 download settimanali, e l'encoder degli indirizzi, con oltre 37.500 download settimanali. Altri pacchetti ENS, come ensjs, ens-validation, ethereum-ens e ens-contracts, sono anch'essi compromessi. Un pacchetto separato, crypto-addr-codec, non correlato a ENS, con quasi 35.000 download settimanali, è stato anch'esso colpito.
Questo incidente fa parte di una tendenza più ampia di attacchi alla catena di approvvigionamento. A settembre, il più grande attacco NPM fino ad oggi ha portato a circa $50 milioni rubati da asset crittografici. Amazon Web Services ha evidenziato che questo incidente è stato seguito dalla diffusione del worm Shai-Hulud, che si è replicato in ambienti dopo la violazione iniziale.
A differenza dei furti mirati precedenti, Shai Hulud agisce principalmente come un ladro di credenziali, diffondendosi autonomamente e raccogliendo chiavi di wallet e altri segreti memorizzati all'interno di ambienti infetti. Questa capacità rappresenta una minaccia significativa per la sicurezza degli asset blockchain se tali segreti vengono memorizzati in modo insicuro.
Tra i pacchetti colpiti, almeno 10 sono direttamente correlati a funzioni di criptovaluta, prevalentemente legati all'ecosistema ENS. Pacchetti come l'hash del contenuto, con quasi 36.000 download settimanali, e l'encoder degli indirizzi, che supera i 37.500 download, sono componenti critici utilizzati dagli sviluppatori per gestire la risoluzione degli indirizzi e dei nomi. Altri pacchetti chiave colpiti includono ensjs, ens-validation, ethereum-ens e ens-contracts.
Oltre alla crittografia, diversi pacchetti non crittografici sono compromessi, inclusi strumenti popolari di Zapier, come @zapier/secret-scrubber, con oltre 40.000 download settimanali. Eriksen ha avvertito che i pacchetti compromessi con alti volumi di download, alcuni vicini a 70.000 download settimanali, sottolineano la diffusione del malware.
I ricercatori di Wiz stimano che oltre 25.000 repository tra centinaia di utenti siano stati colpiti, con nuovi repository compromessi aggiunti ogni 30 minuti. La comunità della cybersecurity sollecita indagini immediate e sforzi di rimedio per qualsiasi ambiente che utilizzi pacchetti npm.
