Історична атака на мережу постачання JavaScript скомпрометувала безпеку Крипто

Велика безпекова тривога: Небачений витік бібліотеки JavaScript

Виникла масова атака на постачальницькі ланцюги, що націлена на широко використовувані бібліотеки JavaScript, яка стала найбільшим порушенням такого роду, що становить значні загрози для безпеки криптовалют і потенційно ставить під загрозу мільярди цифрових активів по всій екосистемі.

Технічний аналіз атак

Дослідники з безпеки виявили шкідливе програмне забезпечення, яке було впроваджене в життєво важливі пакети JavaScript, розповсюджувані через репозиторій менеджера пакетів node package manager (NPM). Атака спеціально скомпрометувала обліковий запис NPM відомого розробника, що дозволило хакерам вставити шкідливий код у популярні бібліотеки, включаючи chalk, strip-ansi та color-convert. Ці утиліти функціонують як основні залежності в мільйонах додатків і в сукупності отримують понад мільярд завантажень щотижня.

Складне шкідливе програмне забезпечення працює як криптокліпер - спеціалізований вектор атаки, призначений для тихого заміщення адрес криптовалютних гаманців під час транзакцій, ефективно захоплюючи кошти, перенаправляючи їх на гаманці, контрольовані зловмисниками. Ця техніка є особливо небезпечною, оскільки може працювати без виявлення, поки транзакції вже завершені.

Оцінка поширених вразливостей

Скомпрометовані бібліотеки представляють основні компоненти екосистеми JavaScript:

• Глибока інтеграція в дерева залежностей означає, що навіть проекти, які не встановлювали ці пакунки безпосередньо, все ще можуть бути під впливом.
• Масштаб атаки безпрецедентний, потенційно під загрозою опинилися мільярди завантажень.
• Шкідливе програмне забезпечення специфічно націлене на транзакції криптовалюти, перехоплюючи та маніпулюючи адресами гаманців.

Експерти з безпеки зазначають, що користувачі, які покладаються на програмні гаманці, стикаються з підвищеним ризиком, тоді як ті, хто перевіряє кожну транзакцію через апаратні гаманці, мають критичний захист від цього конкретного вектора атаки. Залишається невідомим, чи намагається шкідливе програмне забезпечення також безпосередньо витягувати seed-фрази.

Рекомендації щодо безпеки

При реалізації JavaScript в програмах, що обробляють криптовалютні транзакції, розробники повинні враховувати впровадження належних технік валідації ланцюга функцій. Реалізація політики безпеки контенту (CSP) та ретельна валідація введення є основними захисними заходами проти такого типу вразливості в постачальницькому ланцюзі. Уникнення eval（) функцій та інших небезпечних практик JavaScript може значно зменшити ризик таких атак.

Для користувачів криптовалюти перевірка транзакцій за допомогою апаратних гаманців забезпечує важливий захист, вимагаючи фізичного підтвердження перед авторизацією переказів коштів, ефективно нейтралізуючи механізм заміни адрес крипто-кліппера.

Інцидент безпеки продовжує розвиватися, з подальшими деталями, які очікуються в міру просування розслідування.

Застереження: Ця стаття містить інформацію третьої сторони. Не є фінансовою порадою. Може містити спонсорський контент.