Головний технологічний директор Ledger Шарль Гійомет забив тривогу через те, що він описав як одну з найсерйозніших атак на ланцюг постачання, які коли-небудь вражали екосистему JavaScript.
Ledger випустив термінове попередження
У понеділок технічний директор Ledger Гійомет опублікував у X, що обліковий запис npm авторитетногоMaintainer з відкритим вихідним кодом був скомпрометований, що призвело до шкідливих оновлень у широко використовуваних бібліотеках програмного забезпечення.
Він написав,
"В процесі відбувається атака на постачальницький ланцюг великого масштабу... вся екосистема JavaScript може бути під загрозою."
Він підкреслив, що користувачі апаратних гаманців залишаються в безпеці, якщо вони перевіряють кожну транзакцію, але порадив усім іншим тимчасово припинити проведення блокчейн-транзакцій.
Зловмисні оновлення широко використовуваних пакетів
Злом стався 8 вересня, коли хакери отримали доступ до облікового запису npm Джоша Голдберга, відомого як "Qix". Зловмисники опублікували зіпсовані версії 18 пакетів, включаючи chalk, debug, strip-ansi та color-convert, які в сумі становлять понад 2,6 мільярда щотижневих завантажень і вбудовані в основні інструменти розробників, такі як Babel та ESLint.
Дослідники виявили, що ін'єкційний код містив шкідливе програмне забезпечення "крипто-кліпер", яке призначене для перехоплення функцій браузера. Вантаж змінює законні адреси гаманців на контрольовані зловмисником та, в деяких випадках, перехоплює комунікації гаманця, щоб модифікувати транзакції перед застосуванням підписів. Шкідливе ПЗ було вперше виявлено після того, як помилка збірки виявила прихований обфусцований код.
Складна стратегія атаки
Аналіз показав, що шкідливе програмне забезпечення було створено з використанням двох тактик: пасивно замінюючи адреси гаманців на схожі, одночасно активно перехоплюючи та змінюючи транзакції в браузерних гаманцях, таких як MetaMask. Цей багаторівневий підхід дозволив зловмисникам безперешкодно перенаправляти кошти, часто без усвідомлення користувачів.
Розслідування вказують на те, що витік інформації виник внаслідок фішингової атаки на підтримувачів npm. Шахрайські електронні листи, що видавали себе за офіційні повідомлення безпеки npm, інструктували отримувачів оновити двофакторну автентифікацію або ризикувати призупиненням облікового запису. Жертви, які перейшли за посиланням, потрапили на підроблену сторінку входу, що дозволило зловмисникам заволодіти обліковими даними та infiltrate обліковий запис Голдберга.
Потрапивши всередину, зловмисники розповсюдили шкідливі версії основних пакетів, фактично перетворивши програмні інструменти, на які покладаються мільйони. Безпекова компанія Aikido зазначила, що код функціонує як перехоплювач браузера, здатний переписувати платіжні напрямки, змінювати виклики API та втручатися у вміст веб-сайтів.
Триваюча криза та занепокоєння в індустрії
Хоча npm видалив багато зламаних версій, експерти з безпеки попереджають, що приховані транзитивні залежності ускладнюють повне стримування атаки. Розробників закликають перевірити проекти, закріпити відомі безпечні версії пакетів і терміново відновити файли блокування.
Цей інцидент підкреслює крихкість екосистеми з відкритим кодом, яка значною мірою залежить від довіри між утримувачами та розробниками. Оскільки адреси гаманців, пов'язані з викраденими коштами, вже з'являються в ланцюзі, дослідники називають цю атаку однією з найсерйозніших в історії екосистеми JavaScript.
Відмова від відповідальності: Ця стаття надається лише для інформаційних цілей. Вона не пропонується і не призначена для використання як юридична, податкова, інвестиційна, фінансова чи інша порада.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Глобальне Крипто Попередження: Ledger позначає значний злом у Мережі постачання JavaScript
Головний технологічний директор Ledger Шарль Гійомет забив тривогу через те, що він описав як одну з найсерйозніших атак на ланцюг постачання, які коли-небудь вражали екосистему JavaScript.
Ledger випустив термінове попередження
У понеділок технічний директор Ledger Гійомет опублікував у X, що обліковий запис npm авторитетногоMaintainer з відкритим вихідним кодом був скомпрометований, що призвело до шкідливих оновлень у широко використовуваних бібліотеках програмного забезпечення.
Він написав,
"В процесі відбувається атака на постачальницький ланцюг великого масштабу... вся екосистема JavaScript може бути під загрозою."
Він підкреслив, що користувачі апаратних гаманців залишаються в безпеці, якщо вони перевіряють кожну транзакцію, але порадив усім іншим тимчасово припинити проведення блокчейн-транзакцій.
Зловмисні оновлення широко використовуваних пакетів
Злом стався 8 вересня, коли хакери отримали доступ до облікового запису npm Джоша Голдберга, відомого як "Qix". Зловмисники опублікували зіпсовані версії 18 пакетів, включаючи chalk, debug, strip-ansi та color-convert, які в сумі становлять понад 2,6 мільярда щотижневих завантажень і вбудовані в основні інструменти розробників, такі як Babel та ESLint.
Дослідники виявили, що ін'єкційний код містив шкідливе програмне забезпечення "крипто-кліпер", яке призначене для перехоплення функцій браузера. Вантаж змінює законні адреси гаманців на контрольовані зловмисником та, в деяких випадках, перехоплює комунікації гаманця, щоб модифікувати транзакції перед застосуванням підписів. Шкідливе ПЗ було вперше виявлено після того, як помилка збірки виявила прихований обфусцований код.
Складна стратегія атаки
Аналіз показав, що шкідливе програмне забезпечення було створено з використанням двох тактик: пасивно замінюючи адреси гаманців на схожі, одночасно активно перехоплюючи та змінюючи транзакції в браузерних гаманцях, таких як MetaMask. Цей багаторівневий підхід дозволив зловмисникам безперешкодно перенаправляти кошти, часто без усвідомлення користувачів.
Розслідування вказують на те, що витік інформації виник внаслідок фішингової атаки на підтримувачів npm. Шахрайські електронні листи, що видавали себе за офіційні повідомлення безпеки npm, інструктували отримувачів оновити двофакторну автентифікацію або ризикувати призупиненням облікового запису. Жертви, які перейшли за посиланням, потрапили на підроблену сторінку входу, що дозволило зловмисникам заволодіти обліковими даними та infiltrate обліковий запис Голдберга.
Потрапивши всередину, зловмисники розповсюдили шкідливі версії основних пакетів, фактично перетворивши програмні інструменти, на які покладаються мільйони. Безпекова компанія Aikido зазначила, що код функціонує як перехоплювач браузера, здатний переписувати платіжні напрямки, змінювати виклики API та втручатися у вміст веб-сайтів.
Триваюча криза та занепокоєння в індустрії
Хоча npm видалив багато зламаних версій, експерти з безпеки попереджають, що приховані транзитивні залежності ускладнюють повне стримування атаки. Розробників закликають перевірити проекти, закріпити відомі безпечні версії пакетів і терміново відновити файли блокування.
Цей інцидент підкреслює крихкість екосистеми з відкритим кодом, яка значною мірою залежить від довіри між утримувачами та розробниками. Оскільки адреси гаманців, пов'язані з викраденими коштами, вже з'являються в ланцюзі, дослідники називають цю атаку однією з найсерйозніших в історії екосистеми JavaScript.
Відмова від відповідальності: Ця стаття надається лише для інформаційних цілей. Вона не пропонується і не призначена для використання як юридична, податкова, інвестиційна, фінансова чи інша порада.