Главный технический директор Ledger Шарль Гийемет забил тревогу по поводу того, что он описал как одну из самых серьезных атак на цепочку поставок, когда-либо затрагивавших экосистему JavaScript.
Леджер выдает срочное предупреждение
В понедельник технический директор Ledger Гийомет опубликовал в X, что аккаунт npm у авторитетного поддерживателя с открытым исходным кодом был скомпрометирован, что привело к вредоносным обновлениям в широко используемых библиотеках программного обеспечения.
Он написал,
"В настоящее время происходит крупномасштабная атака на цепочку поставок... вся экосистема JavaScript может быть под угрозой."
Он подчеркнул, что пользователи аппаратных кошельков остаются в безопасности, если они проверяют каждую транзакцию, но посоветовал всем остальным временно прекратить проводить блокчейн-транзакции.
Зловредные обновления для широко используемых пакетов
Утечка произошла 8 сентября, когда хакеры получили доступ к аккаунту npm Джоша Голдберга, известного как "Qix". Злоумышленники опубликовали поврежденные версии 18 пакетов, включая chalk, debug, strip-ansi и color-convert, которые в совокупности составляют более 2.6 миллиарда загрузок в неделю и встроены в основные инструменты разработчиков, такие как Babel и ESLint.
Исследователи обнаружили, что внедренный код содержал вредоносное ПО "криптоклипер", предназначенное для перехвата функций браузера. Пейлоад заменяет законные адреса кошельков на контролируемые злоумышленником и, в некоторых случаях, перехватывает коммуникации кошельков, чтобы изменить транзакции до того, как будут применены подписи. Вредоносное ПО было впервые обнаружено после того, как ошибка сборки выявила скрытый зашифрованный код.
Сложная стратегия атаки
Анализ показал, что вредоносное ПО было разработано с использованием двойной тактики: пассивной замены адресов кошельков на похожие, в то время как активно перехватывались и изменялись транзакции в браузерных кошельках, таких как MetaMask. Этот многослойный подход позволил злоумышленникам без труда перенаправлять средства, часто без ведома пользователей.
Расследования предполагают, что утечка произошла в результате фишинговой атаки на поддерживающих npm. Мошеннические электронные письма, выдающие себя за официальные уведомления о безопасности npm, инструктировали получателей обновить двухфакторную аутентификацию или рисковать приостановлением аккаунта. Жертвы, которые следовали по ссылке, были перенаправлены на поддельную страницу входа, что позволило злоумышленникам захватить учетные данные и проникнуть в аккаунт Голдберга.
Попав внутрь, злоумышленники распространили вредоносные версии основных пакетов, фактически превратив в оружие программные инструменты, на которые полагаются миллионы. Безопасная компания Aikido отметила, что код функционировал как перехватчик браузера, способный переписывать назначения платежей, изменять вызовы API и вмешиваться в содержимое веб-сайтов.
Текущие последствия и опасения в отрасли
Хотя npm удалил многие из скомпрометированных версий, эксперты по безопасности предупреждают, что скрытые транзитивные зависимости затрудняют полное сдерживание атаки. Разработчиков призывают провести аудит проектов, зафиксировать известные безопасные версии пакетов и немедленно пересоздать файлы блокировки.
Инцидент подчеркивает хрупкость экосистемы открытого исходного кода, которая сильно зависит от доверия между сопровождающими и разработчиками. С учетом того, что адреса кошельков, связанные с украденными средствами, уже появляются в блокчейне, исследователи называют эту атаку одной из самых серьезных в истории экосистемы JavaScript.
Отказ от ответственности: эта статья предоставлена только для информационных целей. Она не предлагается и не предназначена для использования в качестве юридической, налоговой, инвестиционной, финансовой или другой консультации.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Глобальное предупреждение Крипто: Ledger сообщает о серьезной уязвимости в Блокчейн поставок JavaScript
Главный технический директор Ledger Шарль Гийемет забил тревогу по поводу того, что он описал как одну из самых серьезных атак на цепочку поставок, когда-либо затрагивавших экосистему JavaScript.
Леджер выдает срочное предупреждение
В понедельник технический директор Ledger Гийомет опубликовал в X, что аккаунт npm у авторитетного поддерживателя с открытым исходным кодом был скомпрометирован, что привело к вредоносным обновлениям в широко используемых библиотеках программного обеспечения.
Он написал,
"В настоящее время происходит крупномасштабная атака на цепочку поставок... вся экосистема JavaScript может быть под угрозой."
Он подчеркнул, что пользователи аппаратных кошельков остаются в безопасности, если они проверяют каждую транзакцию, но посоветовал всем остальным временно прекратить проводить блокчейн-транзакции.
Зловредные обновления для широко используемых пакетов
Утечка произошла 8 сентября, когда хакеры получили доступ к аккаунту npm Джоша Голдберга, известного как "Qix". Злоумышленники опубликовали поврежденные версии 18 пакетов, включая chalk, debug, strip-ansi и color-convert, которые в совокупности составляют более 2.6 миллиарда загрузок в неделю и встроены в основные инструменты разработчиков, такие как Babel и ESLint.
Исследователи обнаружили, что внедренный код содержал вредоносное ПО "криптоклипер", предназначенное для перехвата функций браузера. Пейлоад заменяет законные адреса кошельков на контролируемые злоумышленником и, в некоторых случаях, перехватывает коммуникации кошельков, чтобы изменить транзакции до того, как будут применены подписи. Вредоносное ПО было впервые обнаружено после того, как ошибка сборки выявила скрытый зашифрованный код.
Сложная стратегия атаки
Анализ показал, что вредоносное ПО было разработано с использованием двойной тактики: пассивной замены адресов кошельков на похожие, в то время как активно перехватывались и изменялись транзакции в браузерных кошельках, таких как MetaMask. Этот многослойный подход позволил злоумышленникам без труда перенаправлять средства, часто без ведома пользователей.
Расследования предполагают, что утечка произошла в результате фишинговой атаки на поддерживающих npm. Мошеннические электронные письма, выдающие себя за официальные уведомления о безопасности npm, инструктировали получателей обновить двухфакторную аутентификацию или рисковать приостановлением аккаунта. Жертвы, которые следовали по ссылке, были перенаправлены на поддельную страницу входа, что позволило злоумышленникам захватить учетные данные и проникнуть в аккаунт Голдберга.
Попав внутрь, злоумышленники распространили вредоносные версии основных пакетов, фактически превратив в оружие программные инструменты, на которые полагаются миллионы. Безопасная компания Aikido отметила, что код функционировал как перехватчик браузера, способный переписывать назначения платежей, изменять вызовы API и вмешиваться в содержимое веб-сайтов.
Текущие последствия и опасения в отрасли
Хотя npm удалил многие из скомпрометированных версий, эксперты по безопасности предупреждают, что скрытые транзитивные зависимости затрудняют полное сдерживание атаки. Разработчиков призывают провести аудит проектов, зафиксировать известные безопасные версии пакетов и немедленно пересоздать файлы блокировки.
Инцидент подчеркивает хрупкость экосистемы открытого исходного кода, которая сильно зависит от доверия между сопровождающими и разработчиками. С учетом того, что адреса кошельков, связанные с украденными средствами, уже появляются в блокчейне, исследователи называют эту атаку одной из самых серьезных в истории экосистемы JavaScript.
Отказ от ответственности: эта статья предоставлена только для информационных целей. Она не предлагается и не предназначена для использования в качестве юридической, налоговой, инвестиционной, финансовой или другой консультации.