Новая угроза хакерской атаки на цепочку поставок NPM угрожает безопасности ENS и криптовалюты
Значительная атака на цепочку поставок JavaScript скомпрометировала более 400 программных пакетов, включая как минимум 10, активно используемых в экосистеме криптовалют. Утечка была обнаружена компанией Aikido Security, подчеркивающей меняющийся ландшафт угроз, с которыми сталкиваются разработчики и пользователи.
В подробной записи в блоге исследователь Чарли Эриксен описал масштаб инфекции, определив пакеты, зараженные вредоносным ПО «Шай Хулуд» — автономным, самовоспроизводящимся штаммом, предназначенным для распространения в средах разработки. Эриксен подтвердил достоверность каждого обнаружения, чтобы предотвратить ложные срабатывания. Многие из этих пакетов отвечают за критически важные функции, некоторые из них получают десятки тысяч загрузок каждую неделю, подчеркивая широкий потенциальный эффект.
Особую озабоченность вызывают затронутые пакеты, связанные с Ethereum Name Service (ENS), которые облегчают использование человекочитаемых адресов блокчейна. Среди них особенно примечательны content-hash ENS с почти 36,000 загрузками в неделю и address-encoder с более чем 37,500 загрузками в неделю. Другие пакеты ENS, такие как ensjs, ens-validation, ethereum-ens и ens-contracts, также скомпрометированы. Отдельный пакет, crypto-addr-codec, не связанный с ENS, с почти 35,000 загрузками в неделю, также был затронут.
Этот инцидент является частью более широкой тенденции атак на цепочку поставок. В сентябре крупнейшая атака NPM на сегодняшний день привела к краже примерно 50 миллионов долларов из криптоактивов. Amazon Web Services подчеркнула, что этот инцидент был последован распространением червя Shai-Hulud, который реплицировал себя в средах после первоначального нарушения.
В отличие от предыдущих целенаправленных краж, Shai Hulud в первую очередь выступает как кража учетных данных, расползается автономно и собирает ключи кошельков и другие секреты, хранящиеся в зараженных средах. Эта возможность представляет собой значительную угрозу безопасности активов блокчейна, если такие секреты хранятся небезопасно.
Среди затронутых пакетов как минимум 10 напрямую связаны с функциями криптовалюты, в основном привязаны к экосистеме ENS. Пакеты, такие как content-hash с почти 36,000 загрузками в неделю и address-encoder, превышающий 37,500 загрузок, являются критически важными компонентами, используемыми разработчиками для обработки разрешения адресов и имен. Другие ключевые затронутые пакеты включают ensjs, ens-validation, ethereum-ens и ens-contracts.
Помимо криптовалют, несколько некриптовалютных пакетов также скомпрометированы, включая популярные инструменты от Zapier, такие как @zapier/secret-scrubber, с более чем 40,000 загрузками в неделю. Эриксен предупредил, что затронутые пакеты с высоким объемом загрузок, некоторые из которых приближаются к 70,000 загрузкам в неделю, подчеркивают широкое распространение вредоносного ПО.
Исследователи из Wiz оценивают, что более 25,000 репозиториев среди сотен пользователей были затронуты, при этом новые скомпрометированные репозитории добавляются каждые 30 минут. Сообщество кибербезопасности призывает к немедленным расследованиям и мерам по устранению последствий для любой среды, использующей npm-пакеты.