投資
ローンチパッド
CandyDrop
キャンディーを集めてエアドロップを獲得
Launchpool
クイックステーキング
潜在的な新しいトークンを獲得しよう
HODLer Airdrop
GTを保有して、大量のエアドロップを無料で入手
Launchpad
次の大きなトークンプロジェクトを一足先に
Alphaポイント
NEW
オンチェーン資産を取引して、Airdrop報酬を楽しもう!
先物ポイント
NEW
先物ポイントを獲得し、Airdrop報酬を受け取りましょう。
もっと
- 人気の話題もっと見る
49.64K 人気度
13.81K 人気度
47.99K 人気度
92.42K 人気度
29.34K 人気度
- ピン
新しいNPMサプライチェーン攻撃が主要なENSおよび暗号ライブラリを脅かす
サイバーセキュリティ企業Aikido Securityの新しい研究によると、主要なJavaScriptサプライチェーン攻撃が数百のソフトウェアパッケージを侵害しており、その中には暗号エコシステム全体で広く使用されている少なくとも10のパッケージが含まれています。
月曜日の投稿で、Aikido Securityの研究者チャーリー・エリクセンは、進行中のJavaScript NPMライブラリ供給チェーン攻撃に使用されている「Shai Hulud」自己複製マルウェアに感染の兆候を示す400以上のパッケージの名前を共有しました。エリクセンは、偽陽性を避けるために各検出を検証したと述べました。
多くの暗号通貨関連のパッケージは、毎週数万回のダウンロードを受けており、機能するために必要な他の多数のパッケージがあります。本日早く公開されたXの投稿で、エリクセンはまた、Ethereum Name Service (ENS)チームに対して、彼らのいくつかのパッケージが影響を受けていると警告しました。
以前の攻撃が資産を盗むために暗号を直接標的にしていたのに対し、Shai-Huludは開発者インフラ全体に自律的に広がる汎用の認証情報盗難マルウェアです。感染した環境にウォレットキーが含まれている場合、マルウェアはそれらを他の認証情報と同様に「秘密」として盗みます。
関連: 失敗したNPMの悪用が暗号セキュリティへの迫りくる脅威を浮き彫りにする: エグゼクティブ
どの暗号パッケージが影響を受けますか?
影響を受けたパッケージの中で、少なくとも10は特に暗号通貨業界に関連しており、ほぼすべてが人間が読めるアドレス名サービスであるENSに関連しています。影響を受けたパッケージには、週に約36,000回ダウンロードされているENSのコンテンツハッシュや、それに依存する91のソフトウェアパッケージ、さらに、週に37,500回以上ダウンロードされているアドレスエンコーダーが含まれています。
その他のENSパッケージには、ensjs (が週に30,000回以上ダウンロードされ、ens-validation )が週に1,750回ダウンロードされ、ethereum-ens (が週に12,650回ダウンロードされ、ens-contracts )が週に約3,100回ダウンロードされるものがあります。また、ENSとは無関係な暗号通貨関連のパッケージであるcrypto-addr-codecも侵害され、約35,000回ダウンロードされました。
関連: (百万が消失、プライベートキーは露出していない: BigONEハッキングの経緯
影響を受ける人気の非暗号パッケージ
暗号関連ではない影響を受けたパッケージには、企業の自動化プラットフォームZapierが提供するいくつかのパッケージが含まれており、その中には週に40,000回以上ダウンロードされているものや、多くはそれに近いものがあります。次の投稿で、エリクセンは感染した他のパッケージを指摘し、その中には週に70,000回近くダウンロードされているものや、週に150万回以上ダウンロードされている別のパッケージもあります。
「この新しいシャイ・フルード攻撃の範囲は正直なところ巨大です。私たちはまだすべてを確認するためにキューを処理しています」とエリクセンはXで書きました。
サイバーセキュリティ会社Wizの研究者は、「約350のユニークユーザーに対して25,000以上の影響を受けたリポジトリを確認し、過去数時間で毎30分ごとに1,000の新しいリポジトリが追加されている」と主張しています。同社は、npmを使用している環境に対して「即時の調査と修復」を推奨しています。
雑誌: 『助けて!私のロボット掃除機がビットコインを盗んでいる』: スマートデバイスが攻撃する時