A conta NPM de um renomado desenvolvedor foi hackeada, liberando versões maliciosas de pacotes como chalk e color-convert, baixados bilhões de vezes—provocando um enorme risco de cadeia de suprimentos.
Os atacantes incorporaram um sequestrador de área de transferência que substitui endereços de carteiras de criptomoedas usando visuais quase idênticos ( através da distância de Levenshtein) ou substitui ativamente endereços detectados pelo navegador para interceptar transações.
Embora os ganhos do hacker até agora totalizem cerca de ~$496, a maioria dos pacotes afetados está corrigida ou removida; carteiras principais (, como MetaMask, Phantom) confirmaram que não foram afetadas, mas a cautela continua a ser inteligente.
Um ataque de cadeia de fornecimento NPM importante comprometeu pacotes JavaScript amplamente utilizados—baixados mais de 1 bilhão de vezes—injetando sequestradores de endereços de criptomoeda que roubam fundos de forma discreta. Aqui está o que aconteceu e como se proteger.
No dia 9 de setembro, hora de Pequim, Charles Guillemet, Diretor de Tecnologia da Ledger, publicou um aviso no X: ” Um ataque em larga escala à cadeia de suprimentos está atualmente em andamento, e a conta NPM de um desenvolvedor bem conhecido foi comprometida. Os pacotes afetados foram baixados mais de 1 bilhão de vezes, o que significa que todo o ecossistema JavaScript pode estar em risco. “
Guillemet acrescentou: “O código malicioso funciona ao manipular silenciosamente os endereços de criptomoeda em segundo plano para roubar fundos. Se você usar uma carteira de hardware, por favor, verifique cuidadosamente cada transação assinada e você estará seguro. Se você não usar uma carteira de hardware, evite fazer quaisquer transações on-chain por enquanto. Não está claro se os atacantes estão a roubar diretamente as frases mnemônicas das carteiras de software.”
O QUE ACONTECEU?
De acordo com o relatório de segurança citado por Guillemet, a causa direta deste incidente foi que a conta NPM do conhecido desenvolvedor @qix foi hackeada, resultando na liberação de versões maliciosas de dezenas de pacotes de software, incluindo chalk, strip-ansi e color-convert. O código malicioso pode ter se espalhado para o terminal quando os desenvolvedores ou usuários instalaram automaticamente as dependências.
Odaily Nota: Dados de download semanais de pacotes de software comprometidos.
Em resumo, este é um caso clássico de um ataque à cadeia de suprimentos—um ataque em que um atacante insere código malicioso ( como pacotes NPM ) em ferramentas de desenvolvimento ou sistemas de dependência. NPM, abreviação de Node Package Manager, é a ferramenta de gestão de pacotes mais utilizada no ecossistema JavaScript/Node.js. Suas funções principais incluem gerir dependências, instalar e atualizar pacotes e partilhar código.
O ecossistema do NPM é extremamente grande, com milhões de pacotes de software atualmente disponíveis. Quase todos os projetos Web3, carteiras de cripto e ferramentas de front-end dependem do NPM. Precisamente porque o NPM depende de um grande número de dependências e links complexos, é um ponto de entrada de alto risco para ataques à cadeia de suprimentos. Assim que um atacante implantar código malicioso em um pacote de software amplamente utilizado, isso pode afetar milhares de aplicações e usuários.
Como mostrado no gráfico de fluxo de difusão de código malicioso acima:
Um certo projeto (caixa azul) dependerá diretamente de algumas bibliotecas open source comuns, como express.
Estas dependências diretas (caixas verdes), por sua vez, dependem de outras dependências indiretas (caixas amarelas, como lodash).
Se uma dependência indireta for secretamente implantada com código malicioso (caixa vermelha) por um atacante, ela entrará no projeto ao longo da cadeia de dependências.
O QUE ISSO SIGNIFICA PARA AS CRIPTOMOEDAS?
A relevância direta deste incidente de segurança para a indústria de criptomoedas reside no fato de que o código malicioso implantado por hackers no pacote de software contaminado mencionado acima é um "sequestrador de clipboard de criptomoeda" sofisticado que rouba ativos criptográficos ao substituir endereços de carteira e sequestrar transações.
O fundador da Stress Capital, GE (@GuarEmperor), explicou isto com mais detalhe no X. O "sequestrador de área de transferência" injetado pelo hacker utiliza dois modos de ataque: o modo passivo utiliza o "algoritmo da distância de Levenshtein" para substituir o endereço da carteira, que é extremamente difícil de detectar devido à sua semelhança visual; o modo ativo detecta a carteira encriptada no navegador e altera o endereço alvo antes que o usuário assine a transação.
Uma vez que este ataque visa bibliotecas de camada base de projetos JavaScript, mesmo projetos que dependem indiretamente dessas bibliotecas podem ser afetados.
QUANTO LUCRO OS HACKERS FAZEM?
O código malicioso implantado pelo hacker também divulgou seu endereço de ataque. O principal endereço de ataque do hacker na Ethereum é 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, e os fundos provêm principalmente dos seguintes três endereços:
0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240
x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B
0x30F895a2C66030795131FB66CBaD6a1f91461731
A Arkham criou uma página de rastreamento para este ataque, onde os utilizadores podem verificar o lucro do hacker e o estado da transferência em tempo real.
Até esta publicação, os hackers apenas lucraram $496 com o ataque, mas considerando que a extensão da propagação do código malicioso ainda não foi determinada, espera-se que este valor continue a aumentar. O desenvolvedor já foi notificado e está a trabalhar ativamente com a equipe de segurança do NPM para resolver o problema. O código malicioso já foi removido da maioria dos pacotes afetados, portanto, a situação está sob controle.
COMO EVITAR RISCOS?
O fundador da Defillama @0xngmi Yu X disse que, embora este incidente pareça perigoso, o impacto real não é tão exagerado – porque este incidente afetará apenas os sites que implementaram atualizações desde que o pacote NPM hackeado foi lançado, e outros projetos continuarão a usar a versão antiga; e a maioria dos projetos corrigirá suas dependências, então mesmo que implementem atualizações, continuarão a usar o código de segurança antigo.
No entanto, uma vez que os usuários não podem realmente saber se um projeto tem dependências fixas ou se possui algumas dependências baixadas dinamicamente, a parte do projeto é atualmente obrigada a realizar uma autoinspeção e divulgá-la primeiro.
Até este post, vários projetos de carteiras ou aplicações, incluindo MetaMask, Phantom, Aave, Fluid e Jupiter, divulgaram que não foram afetados por este incidente. Portanto, em teoria, os utilizadores podem usar com segurança carteiras confirmadamente seguras para aceder a protocolos confirmadamente seguros. No entanto, para outras carteiras ou projetos que ainda não divulgaram informações de segurança, pode ser mais seguro evitar temporariamente o seu uso.
〈Durante a noite, "ataques à cadeia de suprimentos" dominaram as manchetes: O que aconteceu? Como podemos mitigar os riscos?〉Este artigo foi publicado pela primeira vez na "CoinRank".
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
Durante a noite, os "ataques à cadeia de suprimentos" dominaram as manchetes: O que aconteceu? Como podemos mitigar os riscos?
A conta NPM de um renomado desenvolvedor foi hackeada, liberando versões maliciosas de pacotes como chalk e color-convert, baixados bilhões de vezes—provocando um enorme risco de cadeia de suprimentos.
Os atacantes incorporaram um sequestrador de área de transferência que substitui endereços de carteiras de criptomoedas usando visuais quase idênticos ( através da distância de Levenshtein) ou substitui ativamente endereços detectados pelo navegador para interceptar transações.
Embora os ganhos do hacker até agora totalizem cerca de ~$496, a maioria dos pacotes afetados está corrigida ou removida; carteiras principais (, como MetaMask, Phantom) confirmaram que não foram afetadas, mas a cautela continua a ser inteligente.
Um ataque de cadeia de fornecimento NPM importante comprometeu pacotes JavaScript amplamente utilizados—baixados mais de 1 bilhão de vezes—injetando sequestradores de endereços de criptomoeda que roubam fundos de forma discreta. Aqui está o que aconteceu e como se proteger.
No dia 9 de setembro, hora de Pequim, Charles Guillemet, Diretor de Tecnologia da Ledger, publicou um aviso no X: ” Um ataque em larga escala à cadeia de suprimentos está atualmente em andamento, e a conta NPM de um desenvolvedor bem conhecido foi comprometida. Os pacotes afetados foram baixados mais de 1 bilhão de vezes, o que significa que todo o ecossistema JavaScript pode estar em risco. “
Guillemet acrescentou: “O código malicioso funciona ao manipular silenciosamente os endereços de criptomoeda em segundo plano para roubar fundos. Se você usar uma carteira de hardware, por favor, verifique cuidadosamente cada transação assinada e você estará seguro. Se você não usar uma carteira de hardware, evite fazer quaisquer transações on-chain por enquanto. Não está claro se os atacantes estão a roubar diretamente as frases mnemônicas das carteiras de software.”
O QUE ACONTECEU?
De acordo com o relatório de segurança citado por Guillemet, a causa direta deste incidente foi que a conta NPM do conhecido desenvolvedor @qix foi hackeada, resultando na liberação de versões maliciosas de dezenas de pacotes de software, incluindo chalk, strip-ansi e color-convert. O código malicioso pode ter se espalhado para o terminal quando os desenvolvedores ou usuários instalaram automaticamente as dependências.
Odaily Nota: Dados de download semanais de pacotes de software comprometidos.
Em resumo, este é um caso clássico de um ataque à cadeia de suprimentos—um ataque em que um atacante insere código malicioso ( como pacotes NPM ) em ferramentas de desenvolvimento ou sistemas de dependência. NPM, abreviação de Node Package Manager, é a ferramenta de gestão de pacotes mais utilizada no ecossistema JavaScript/Node.js. Suas funções principais incluem gerir dependências, instalar e atualizar pacotes e partilhar código.
O ecossistema do NPM é extremamente grande, com milhões de pacotes de software atualmente disponíveis. Quase todos os projetos Web3, carteiras de cripto e ferramentas de front-end dependem do NPM. Precisamente porque o NPM depende de um grande número de dependências e links complexos, é um ponto de entrada de alto risco para ataques à cadeia de suprimentos. Assim que um atacante implantar código malicioso em um pacote de software amplamente utilizado, isso pode afetar milhares de aplicações e usuários.
Como mostrado no gráfico de fluxo de difusão de código malicioso acima:
Um certo projeto (caixa azul) dependerá diretamente de algumas bibliotecas open source comuns, como express.
Estas dependências diretas (caixas verdes), por sua vez, dependem de outras dependências indiretas (caixas amarelas, como lodash).
Se uma dependência indireta for secretamente implantada com código malicioso (caixa vermelha) por um atacante, ela entrará no projeto ao longo da cadeia de dependências.
O QUE ISSO SIGNIFICA PARA AS CRIPTOMOEDAS?
A relevância direta deste incidente de segurança para a indústria de criptomoedas reside no fato de que o código malicioso implantado por hackers no pacote de software contaminado mencionado acima é um "sequestrador de clipboard de criptomoeda" sofisticado que rouba ativos criptográficos ao substituir endereços de carteira e sequestrar transações.
O fundador da Stress Capital, GE (@GuarEmperor), explicou isto com mais detalhe no X. O "sequestrador de área de transferência" injetado pelo hacker utiliza dois modos de ataque: o modo passivo utiliza o "algoritmo da distância de Levenshtein" para substituir o endereço da carteira, que é extremamente difícil de detectar devido à sua semelhança visual; o modo ativo detecta a carteira encriptada no navegador e altera o endereço alvo antes que o usuário assine a transação.
Uma vez que este ataque visa bibliotecas de camada base de projetos JavaScript, mesmo projetos que dependem indiretamente dessas bibliotecas podem ser afetados.
QUANTO LUCRO OS HACKERS FAZEM?
O código malicioso implantado pelo hacker também divulgou seu endereço de ataque. O principal endereço de ataque do hacker na Ethereum é 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, e os fundos provêm principalmente dos seguintes três endereços:
0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240
x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B
0x30F895a2C66030795131FB66CBaD6a1f91461731
A Arkham criou uma página de rastreamento para este ataque, onde os utilizadores podem verificar o lucro do hacker e o estado da transferência em tempo real.
Até esta publicação, os hackers apenas lucraram $496 com o ataque, mas considerando que a extensão da propagação do código malicioso ainda não foi determinada, espera-se que este valor continue a aumentar. O desenvolvedor já foi notificado e está a trabalhar ativamente com a equipe de segurança do NPM para resolver o problema. O código malicioso já foi removido da maioria dos pacotes afetados, portanto, a situação está sob controle.
COMO EVITAR RISCOS?
O fundador da Defillama @0xngmi Yu X disse que, embora este incidente pareça perigoso, o impacto real não é tão exagerado – porque este incidente afetará apenas os sites que implementaram atualizações desde que o pacote NPM hackeado foi lançado, e outros projetos continuarão a usar a versão antiga; e a maioria dos projetos corrigirá suas dependências, então mesmo que implementem atualizações, continuarão a usar o código de segurança antigo.
No entanto, uma vez que os usuários não podem realmente saber se um projeto tem dependências fixas ou se possui algumas dependências baixadas dinamicamente, a parte do projeto é atualmente obrigada a realizar uma autoinspeção e divulgá-la primeiro.
Até este post, vários projetos de carteiras ou aplicações, incluindo MetaMask, Phantom, Aave, Fluid e Jupiter, divulgaram que não foram afetados por este incidente. Portanto, em teoria, os utilizadores podem usar com segurança carteiras confirmadamente seguras para aceder a protocolos confirmadamente seguros. No entanto, para outras carteiras ou projetos que ainda não divulgaram informações de segurança, pode ser mais seguro evitar temporariamente o seu uso.
〈Durante a noite, "ataques à cadeia de suprimentos" dominaram as manchetes: O que aconteceu? Como podemos mitigar os riscos?〉Este artigo foi publicado pela primeira vez na "CoinRank".