Autorul știrii: Crypto Emergency
Materialul are un caracter informativ și nu reprezintă o recomandare de securitate. Dezvoltatorii ar trebui să își verifice urgent dependențele.
Ce s-a întâmplat?
Hackeri au spart registrul de pachete NPM — cea mai mare platformă de distribuție a bibliotecilor JavaScript — și au injectat cod malițios în 18 pachete populare. Scopul atacului: furtul de criptomonede prin înlocuirea adreselor portofelului și interceptarea tranzacțiilor în browser.
Potrivit Aikido Security, atacul a început cu un e-mail de phishing trimis unuia dintre mentenorii sub pseudonimul qix. Atacatorii au obținut acces la contul său și au început să publice versiuni infectate ale bibliotecilor. Când dezvoltatorul a încercat să elimine pachetele malware, a pierdut accesul la cont.
Cum funcționează codul malware?
Programul malware nu afectează serverele sau mediile de dezvoltare. Se activează pe partea clientului - în browser - și:
- Interceptează activitatea Web3
- Înlocuiește adresele portofelelor criptografice
- Rescrie destinațiile tranzacțiilor
- Afișează o interfață corectă, dar redirecționează fondurile către adresele hackerilor
Care pachete au fost infectate?
Printre cele compromise se află biblioteci care sunt utilizate practic în fiecare al doilea proiect JavaScript.
Volumul total al descărcărilor acestor pachete este de peste 2 miliarde pe săptămână2.
Cum a fost descoperit atacul?
Sistemul de monitorizare Aikido a înregistrat actualizări suspecte ale pachetelor inactive de mult timp. De exemplu, biblioteca is-arrayish, care nu a fost actualizată de mai bine de 5 ani, a primit brusc o nouă versiune cu cod malware obfuscat.
Recomandări pentru dezvoltatori
Verificați urgent dependențele și reveniți la versiuni sigure
Utilizați instrumentele de monitorizare a lanțului de aprovizionare
Evitați actualizările automate fără verificare
Monitorizați cu atenție tranzacțiile dacă aplicația lucrează cu criptomonede
Atacuri paralele
Simultan cu incidentul de pe NPM, analiștii PeckShield au raportat despre hack-ul platformei descentralizate Nemo Protocol pe blockchain-ul Sui. Pierderile s-au ridicat la 2,4 milioane de dolari.