Noua amenințare de hacking a lanțului de aprovizionare NPM amenință securitatea ENS și a criptomonedelor
O atac semnificativ de aprovizionare JavaScript a compromis peste 400 de pachete software, inclusiv cel puțin 10 utilizate pe scară largă în ecosistemul criptomonedelor. Breșa a fost descoperită de firma de cybersecurity Aikido Security, evidențiind peisajul amenințărilor în continuă evoluție cu care se confruntă dezvoltatorii și utilizatorii deopotrivă.
Într-o postare detaliată pe blog, cercetătorul Charlie Eriksen a conturat amploarea infecției, identificând pachete infectate cu malware-ul “Shai Hulud”—o tulpină autonomă, auto-replicantă, concepută pentru a se răspândi în medii de dezvoltare. Eriksen a confirmat validitatea fiecărei detecții pentru a preveni falsurile pozitive. Multe dintre aceste pachete sunt responsabile pentru funcții critice, unele primind zeci de mii de descărcări săptămânale, subliniind impactul potențial extins.
Deosebit de îngrijorătoare sunt pachetele afectate asociate cu Ethereum Name Service (ENS), care facilitează adrese blockchain lizibile de către oameni. Notabile printre acestea sunt hash-ul de conținut al ENS, cu aproape 36,000 de descărcări săptămânale, și encoder-ul de adrese, cu peste 37,500 de descărcări săptămânale. Alte pachete ENS, cum ar fi ensjs, ens-validation, ethereum-ens și ens-contracts, sunt de asemenea compromise. Un pachet separat, crypto-addr-codec, fără legătură cu ENS, cu aproape 35,000 de descărcări săptămânale, a fost de asemenea afectat.
Acest incident face parte dintr-o tendință mai largă de atacuri asupra lanțului de aprovizionare. În septembrie, cel mai mare atac NPM de până acum a dus la furtul a aproximativ 50 de milioane de dolari din active crypto. Amazon Web Services a subliniat că acest incident a fost urmat de răspândirea viermelui Shai-Hulud, care s-a replicat în medii după breșa inițială.
Spre deosebire de furturile țintite anterioare, Shai Hulud acționează în principal ca un furtător de acreditive, răspândindu-se autonom și colectând chei de portofel și alte secrete stocate în medii infectate. Această capacitate reprezintă o amenințare semnificativă pentru securitatea activelor blockchain dacă astfel de secrete sunt stocate nesigur.
Printre pachetele afectate, cel puțin 10 sunt direct legate de funcții criptomonede, predominant legate de ecosistemul ENS. Pachete precum hash-ul de conținut, cu aproape 36,000 de descărcări săptămânale, și encoder-ul de adrese, depășind 37,500 de descărcări, sunt componente critice utilizate de dezvoltatori pentru a gestiona rezolvarea adreselor și numelui. Alte pachete cheie afectate includ ensjs, ens-validation, ethereum-ens și ens-contracts.
Dincolo de criptomonede, mai multe pachete non-crypto sunt compromise, inclusiv instrumente populare de la Zapier, cum ar fi @zapier/secret-scrubber, cu peste 40,000 de descărcări săptămânale. Eriksen a avertizat că pachetele afectate cu volume mari de descărcări, unele apropiindu-se de 70,000 de descărcări săptămânale, subliniază amploarea răspândirii malware-ului.
Cercetătorii de la Wiz estimează că peste 25,000 de repozitorii din sute de utilizatori au fost afectate, cu noi repozitorii compromise adăugate la fiecare 30 de minute. Comunitatea de cybersecurity îndeamnă la investigații imediate și eforturi de remediere pentru orice mediu care utilizează pachete npm.