Giám đốc Công nghệ của Ledger, Charles Guillemet, đã cảnh báo về những gì ông mô tả là một trong những cuộc tấn công chuỗi cung ứng nghiêm trọng nhất từng xảy ra đối với hệ sinh thái JavaScript.
Ledger đưa ra cảnh báo khẩn cấp
Vào thứ Hai, CTO của Ledger, Guillemet, đã đăng trên X rằng tài khoản npm của một người duy trì mã nguồn mở có uy tín đã bị xâm phạm, dẫn đến các bản cập nhật độc hại trên các thư viện phần mềm được sử dụng rộng rãi.
Ông ấy đã viết,
“Có một cuộc tấn công chuỗi cung ứng quy mô lớn đang diễn ra… toàn bộ hệ sinh thái JavaScript có thể đang gặp rủi ro.”
Ông nhấn mạnh rằng người dùng ví phần cứng vẫn an toàn nếu họ xác minh mọi giao dịch, nhưng khuyên tất cả những người khác ngừng thực hiện các giao dịch blockchain tạm thời.
Cập nhật độc hại cho các gói được sử dụng rộng rãi
Sự vi phạm xảy ra vào ngày 8 tháng 9 khi các hacker đã truy cập vào tài khoản npm của Josh Goldberg, được biết đến với tên gọi "Qix." Các kẻ tấn công đã phát hành các phiên bản bị hỏng của 18 gói, bao gồm chalk, debug, strip-ansi và color-convert, mà tổng cộng chiếm hơn 2,6 tỷ lượt tải xuống hàng tuần và được nhúng trong các công cụ phát triển cốt lõi như Babel và ESLint.
Các nhà nghiên cứu phát hiện ra rằng mã được tiêm chứa phần mềm độc hại "crypto-clipper" được thiết kế để chặn các chức năng của trình duyệt. Tải trọng thay thế địa chỉ ví hợp pháp bằng các địa chỉ do kẻ tấn công kiểm soát và, trong một số trường hợp, chiếm đoạt các giao tiếp ví để sửa đổi các giao dịch trước khi chữ ký được áp dụng. Phần mềm độc hại lần đầu tiên được phát hiện sau khi một lỗi xây dựng tiết lộ mã bị ẩn giấu.
Chiến lược tấn công tinh vi
Phân tích cho thấy phần mềm độc hại được thiết kế với hai chiến thuật: thay thế thụ động các địa chỉ ví bằng các địa chỉ tương tự, trong khi chủ động chặn và thay đổi các giao dịch trên các ví dựa trên trình duyệt như MetaMask. Cách tiếp cận nhiều lớp này cho phép kẻ tấn công điều hướng quỹ một cách liền mạch, thường mà người dùng không nhận ra.
Các cuộc điều tra cho thấy sự vi phạm bắt nguồn từ một cuộc tấn công lừa đảo nhắm vào các nhà bảo trì npm. Những email giả mạo, giả làm thông báo an ninh chính thức của npm, đã hướng dẫn người nhận cập nhật xác thực hai yếu tố hoặc có nguy cơ bị đình chỉ tài khoản. Các nạn nhân đã làm theo liên kết bị chuyển hướng đến một trang đăng nhập giả, cho phép kẻ tấn công chiếm đoạt thông tin xác thực và xâm nhập vào tài khoản của Goldberg.
Khi vào bên trong, những kẻ tấn công đã phân phối các phiên bản độc hại của các gói cốt lõi, hiệu quả là vũ khí hóa các công cụ phần mềm mà hàng triệu người phụ thuộc vào. Công ty bảo mật Aikido đã chỉ ra rằng mã này hoạt động như một trình chặn trình duyệt, có khả năng viết lại các điểm đến thanh toán, thay đổi các cuộc gọi API và can thiệp vào nội dung trang web.
Diễn biến tiếp theo và mối quan ngại trong ngành
Mặc dù npm đã loại bỏ nhiều phiên bản bị xâm phạm, các chuyên gia an ninh cảnh báo rằng các phụ thuộc chuyển tiếp ẩn khiến việc kiểm soát hoàn toàn cuộc tấn công trở nên khó khăn. Các nhà phát triển được khuyến khích kiểm tra các dự án, cố định các phiên bản gói đã biết là an toàn, và khôi phục các tệp khóa ngay lập tức.
Sự cố này nhấn mạnh sự mong manh của hệ sinh thái mã nguồn mở, phụ thuộc nhiều vào sự tin tưởng giữa những người duy trì và các nhà phát triển. Với các địa chỉ ví liên quan đến tiền bị đánh cắp đã xuất hiện trên chuỗi, các nhà nghiên cứu đang gọi cuộc tấn công này là một trong những cuộc tấn công nghiêm trọng nhất trong lịch sử của hệ sinh thái JavaScript.
Tuyên bố miễn trừ trách nhiệm: Bài viết này được cung cấp chỉ nhằm mục đích thông tin. Nó không được cung cấp hoặc dự định sử dụng như tư vấn pháp lý, thuế, đầu tư, tài chính hoặc các loại tư vấn khác.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Cảnh báo Tiền điện tử toàn cầu: Ledger cảnh báo về sự vi phạm lớn trong chuỗi cung ứng JavaScript
Giám đốc Công nghệ của Ledger, Charles Guillemet, đã cảnh báo về những gì ông mô tả là một trong những cuộc tấn công chuỗi cung ứng nghiêm trọng nhất từng xảy ra đối với hệ sinh thái JavaScript.
Ledger đưa ra cảnh báo khẩn cấp
Vào thứ Hai, CTO của Ledger, Guillemet, đã đăng trên X rằng tài khoản npm của một người duy trì mã nguồn mở có uy tín đã bị xâm phạm, dẫn đến các bản cập nhật độc hại trên các thư viện phần mềm được sử dụng rộng rãi.
Ông ấy đã viết,
“Có một cuộc tấn công chuỗi cung ứng quy mô lớn đang diễn ra… toàn bộ hệ sinh thái JavaScript có thể đang gặp rủi ro.”
Ông nhấn mạnh rằng người dùng ví phần cứng vẫn an toàn nếu họ xác minh mọi giao dịch, nhưng khuyên tất cả những người khác ngừng thực hiện các giao dịch blockchain tạm thời.
Cập nhật độc hại cho các gói được sử dụng rộng rãi
Sự vi phạm xảy ra vào ngày 8 tháng 9 khi các hacker đã truy cập vào tài khoản npm của Josh Goldberg, được biết đến với tên gọi "Qix." Các kẻ tấn công đã phát hành các phiên bản bị hỏng của 18 gói, bao gồm chalk, debug, strip-ansi và color-convert, mà tổng cộng chiếm hơn 2,6 tỷ lượt tải xuống hàng tuần và được nhúng trong các công cụ phát triển cốt lõi như Babel và ESLint.
Các nhà nghiên cứu phát hiện ra rằng mã được tiêm chứa phần mềm độc hại "crypto-clipper" được thiết kế để chặn các chức năng của trình duyệt. Tải trọng thay thế địa chỉ ví hợp pháp bằng các địa chỉ do kẻ tấn công kiểm soát và, trong một số trường hợp, chiếm đoạt các giao tiếp ví để sửa đổi các giao dịch trước khi chữ ký được áp dụng. Phần mềm độc hại lần đầu tiên được phát hiện sau khi một lỗi xây dựng tiết lộ mã bị ẩn giấu.
Chiến lược tấn công tinh vi
Phân tích cho thấy phần mềm độc hại được thiết kế với hai chiến thuật: thay thế thụ động các địa chỉ ví bằng các địa chỉ tương tự, trong khi chủ động chặn và thay đổi các giao dịch trên các ví dựa trên trình duyệt như MetaMask. Cách tiếp cận nhiều lớp này cho phép kẻ tấn công điều hướng quỹ một cách liền mạch, thường mà người dùng không nhận ra.
Các cuộc điều tra cho thấy sự vi phạm bắt nguồn từ một cuộc tấn công lừa đảo nhắm vào các nhà bảo trì npm. Những email giả mạo, giả làm thông báo an ninh chính thức của npm, đã hướng dẫn người nhận cập nhật xác thực hai yếu tố hoặc có nguy cơ bị đình chỉ tài khoản. Các nạn nhân đã làm theo liên kết bị chuyển hướng đến một trang đăng nhập giả, cho phép kẻ tấn công chiếm đoạt thông tin xác thực và xâm nhập vào tài khoản của Goldberg.
Khi vào bên trong, những kẻ tấn công đã phân phối các phiên bản độc hại của các gói cốt lõi, hiệu quả là vũ khí hóa các công cụ phần mềm mà hàng triệu người phụ thuộc vào. Công ty bảo mật Aikido đã chỉ ra rằng mã này hoạt động như một trình chặn trình duyệt, có khả năng viết lại các điểm đến thanh toán, thay đổi các cuộc gọi API và can thiệp vào nội dung trang web.
Diễn biến tiếp theo và mối quan ngại trong ngành
Mặc dù npm đã loại bỏ nhiều phiên bản bị xâm phạm, các chuyên gia an ninh cảnh báo rằng các phụ thuộc chuyển tiếp ẩn khiến việc kiểm soát hoàn toàn cuộc tấn công trở nên khó khăn. Các nhà phát triển được khuyến khích kiểm tra các dự án, cố định các phiên bản gói đã biết là an toàn, và khôi phục các tệp khóa ngay lập tức.
Sự cố này nhấn mạnh sự mong manh của hệ sinh thái mã nguồn mở, phụ thuộc nhiều vào sự tin tưởng giữa những người duy trì và các nhà phát triển. Với các địa chỉ ví liên quan đến tiền bị đánh cắp đã xuất hiện trên chuỗi, các nhà nghiên cứu đang gọi cuộc tấn công này là một trong những cuộc tấn công nghiêm trọng nhất trong lịch sử của hệ sinh thái JavaScript.
Tuyên bố miễn trừ trách nhiệm: Bài viết này được cung cấp chỉ nhằm mục đích thông tin. Nó không được cung cấp hoặc dự định sử dụng như tư vấn pháp lý, thuế, đầu tư, tài chính hoặc các loại tư vấn khác.