新的NPM供应链攻击危及主要的ENS和加密库

根据网络安全公司 Aikido Security 的最新研究，一场重大的 JavaScript 供应链攻击已使数百个软件包受到影响——包括至少 10 个在加密生态系统中广泛使用的软件包。

在周一的一篇帖子中，Aikido Security 的研究员 Charlie Eriksen 分享了超过 400 个显示出感染“Shai Hulud”自我复制恶意软件的包的名称，该恶意软件用于正在进行的 JavaScript NPM 库供应链攻击。Eriksen 表示，他验证了每个检测结果，以避免误报。

许多与加密货币相关的包每周收到数万次下载，并有许多其他包需要它们才能正常运行。在今天早些时候发布的一条X动态中，Eriksen还警告以太坊名称服务(ENS)团队，他们的几个包受到了影响。

来源：Charlie EriksenShai Hulud 是更广泛供应链攻击趋势的一部分。在九月初，迄今为止报告的最大 NPM 攻击中，黑客仅盗取了 $50 百万加密货币。亚马逊网络服务指出，这次首次攻击在一周后就被 Shai-Hulud 蠕虫自主传播了。

虽然之前的攻击直接针对加密货币以窃取资产，但Shai-Hulud是一种通用的凭证窃取恶意软件，它会在开发者基础设施中自主传播。如果感染的环境包含钱包密钥，恶意软件将像其他凭证一样将其作为“秘密”窃取。

相关: 失败的NPM漏洞突显了加密安全的迫在眉睫的威胁: 高管

哪些加密包受到影响？

在所有受影响的包中，至少有10个与加密货币行业直接相关，几乎所有都与ENS相关，这是一个可读性地址名称服务。受影响的包中包括ENS的内容哈希，每周下载量接近36,000次，以及91个依赖于它的软件包，还有地址编码器，每周下载量超过37,500次。

其他受影响的ENS软件包包括ensjs (每周下载超过30,000次)，ens-validation (每周下载1,750次)，ethereum-ens (每周下载12,650次)，以及ens-contracts (每周下载近3,100次)。与ENS无关的加密货币相关软件包crypto-addr-codec也遭到攻击，下载量接近35,000次。

相关: $27 百万消失，无私钥泄露: BigONE 黑客事件是如何发生的

受影响的流行非加密软件包

与加密货币无关的受影响软件包包括一些由企业自动化平台Zapier提供的，尤其是一个每周下载超过40,000次的包，还有许多下载量也不远。Eriksen在后续帖子中指出了其他被感染的软件包，其中一些每周下载接近70,000次，还有另一个包的每周下载量超过150万次。

“这次新的沙赫鲁德攻击的范围实在太大了；我们仍在处理队列以确认所有内容，”Eriksen在X上写道。

“这会让之前的攻击看起来毫无意义。”

网络安全公司Wiz的研究人员声称已“发现超过25,000个受影响的代码库，涉及~350个独特用户，在过去几个小时内，每30分钟持续增加1,000个新代码库。”该公司建议对任何使用npm的环境进行“立即调查和修复”。

杂志： ‘救命！我的机器人吸尘器正在偷我的比特币’：当智能设备袭击时

• #安全
• #以太坊
• #恶意软件
• #黑客
• #网络安全
• #ENS
• #供应链
• #黑客 添加反应 ！