NPM счет известного разработчика был взломан, в результате чего были выпущены вредоносные версии пакетов, таких как chalk и color-convert, загруженных миллиарды раз — что привело к огромному риску для цепочки поставок.
Злоумышленники внедрили захватчик буфера обмена, который заменяет адреса криптовалютных кошельков, используя почти идентичные визуальные элементы ( через расстояние Левенштейна ) или активно переопределяет адреса, обнаруженные браузером, чтобы перехватывать транзакции.
Хотя хакеры получили в общей сложности ~$496, большинство затронутых пакетов исправлены или удалены; основные кошельки (, например, MetaMask, Phantom) подтвердили, что они не пострадали, но осторожность остается разумной.
Крупная атака на цепочку поставок NPM скомпрометировала широко используемые пакеты JavaScript — загруженные более 1 миллиарда раз — внедряя похитителей крипто-адресов, которые незаметно крадут средства. Вот что произошло и как защитить себя.
9 сентября по пекинскому времени Чарльз Гийем, главный технологический директор Ledger, опубликовал предупреждение в X: «В настоящее время происходит крупномасштабная атака на цепочку поставок, и учетная запись NPM известного разработчика была скомпрометирована. Затронутые пакеты были загружены более 1 миллиарда раз, что означает, что вся экосистема JavaScript может быть под угрозой.»
Гийемет добавил: "Вредоносный код работает, тихо подменяя адреса криптовалют в фоновом режиме, чтобы украсть средства. Если вы используете аппаратный кошелек, пожалуйста, внимательно проверяйте каждую подписанную транзакцию, и вы будете в безопасности. Если вы не используете аппаратный кошелек, пожалуйста, избегайте проведения любых ончейн-транзакций в настоящее время. Неясно, похищают ли злоумышленники непосредственно мнемонические фразы программных кошельков."
Что случилось?
Согласно отчету о безопасности, приведенному Гийеметом, непосредственной причиной этого инцидента стало взлом NPM счета известного разработчика @qix, что привело к выпуску вредоносных версий десятков программных пакетов, включая chalk, strip-ansi и color-convert. Вредоносный код мог распространиться на терминал, когда разработчики или пользователи автоматически устанавливали зависимости.
Odaily Note: Еженедельные данные загрузки скомпрометированных программных пакетов.
Вкратце, это классический случай атаки на цепочку поставок — атаки, при которой злоумышленник вставляет вредоносный код (, такой как пакеты NPM ), в инструменты разработки или системы зависимостей. NPM, сокращение от Node Package Manager, является самым распространенным инструментом управления пакетами в экосистеме JavaScript/Node.js. Его основные функции включают управление зависимостями, установку и обновление пакетов, а также совместное использование кода.
Экосистема NPM чрезвычайно большая, с миллионами доступных программных пакетов. Практически все Web3 проекты, крипто-кошельки и инструменты фронтенда зависят от NPM. Именно потому, что NPM зависит от большого числа зависимостей и сложных связей, это является высокорисковым входом для атак на цепочку поставок. Как только злоумышленник внедряет вредоносный код в широко используемый программный пакет, это может повлиять на тысячи приложений и пользователей.
Как показано на диаграмме распространения вредоносного кода выше:
Некоторый проект (blue box) будет напрямую зависеть от некоторых общих открытых библиотек, таких как express.
Эти прямые зависимости (green boxes), в свою очередь, зависят от других косвенных зависимостей (yellow boxes, таких как lodash).
Если косвенная зависимость тайно внедрена злонамеренным кодом (красный ящик) злоумышленником, она войдет в проект по цепочке зависимостей.
ЧТО ЭТО ЗНАЧИТ ДЛЯ КРИПТОВАЛЮТ?
Прямое отношение этого инцидента с безопасностью к индустрии криптовалют заключается в том, что вредоносный код, внедренный хакерами в вышеупомянутый зараженный программный пакет, является сложным «перехватчиком буфера обмена криптовалюты», который крадет криптоактивы, заменяя адреса кошельков и перехватывая транзакции.
Основатель Stress Capital GE (@GuarEmperor) объяснил это более подробно на X. "Хайджкер буфера обмена", внедренный хакером, использует два режима атаки: пассивный режим использует "алгоритм расстояния Левенштейна" для замены адреса кошелька, который крайне сложно обнаружить из-за его визуального сходства; активный режим обнаруживает зашифрованный кошелек в браузере и подменяет целевой адрес перед тем, как пользователь подпишет транзакцию.
Поскольку эта атака нацелена на базовые библиотеки JavaScript-проектов, даже проекты, которые косвенно зависят от этих библиотек, могут пострадать.
СКОЛЬКО ПРИБЫЛИ ЗАРАБАТЫВАЮТ ХАКЕРЫ?
Зловредный код, внедренный хакером, также раскрыл его адрес атаки. Основной адрес атаки хакера в Ethereum - 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, а средства в основном поступают из следующих трех адресов:
0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240
x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B
0x30F895a2C66030795131FB66CBaD6a1f91461731
Arkham создала страницу отслеживания для этой атаки, где пользователи могут в реальном времени проверять прибыль хакера и статус перевода.
На момент этой публикации хакеры заработали всего 496 долларов от атаки, но учитывая, что степень распространения вредоносного кода еще не определена, ожидается, что эта цифра может продолжать расти. Разработчик уже был уведомлен и активно работает с командой безопасности NPM, чтобы решить проблему. Вредоносный код теперь был удален из большинства затронутых пакетов, поэтому ситуация находится под контролем.
КАК ИЗБЕЖАТЬ РИСКОВ?
Основатель Defillama @0xngmi Ю С said, что хотя этот инцидент звучит опасно, фактическое воздействие не так преувеличено – потому что этот инцидент повлияет только на веб-сайты, которые внедрили обновления с момента выпуска взломанного пакета NPM, а другие проекты будут продолжать использовать старую версию; и большинство проектов исправят свои зависимости, так что даже если они внедрят обновления, они будут продолжать использовать старый код безопасности.
Однако, поскольку пользователи не могут действительно знать, есть ли у проекта фиксированные зависимости или есть ли у него какие-то динамически загружаемые зависимости, стороне проекта в настоящее время требуется провести самоинспекцию и сначала раскрыть это.
На момент публикации несколько проектов кошельков или приложений, включая MetaMask, Phantom, Aave, Fluid и Jupiter, сообщили, что они не пострадали от этого инцидента. Таким образом, теоретически пользователи могут безопасно использовать подтвержденные защищенные кошельки для доступа к подтвержденным защищенным протоколам. Однако для других кошельков или проектов, которые еще не сделали заявлений о безопасности, может быть безопаснее временно избегать их использования.
〈За ночь "атаки на цепочку поставок" доминировали в заголовках: Что произошло? Как мы можем смягчить риски?〉Эта статья впервые была опубликована в《CoinRank》。
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
За ночь "атаки на цепочку поставок" оказались в центре внимания: что произошло? Как мы можем смягчить риски?
NPM счет известного разработчика был взломан, в результате чего были выпущены вредоносные версии пакетов, таких как chalk и color-convert, загруженных миллиарды раз — что привело к огромному риску для цепочки поставок.
Злоумышленники внедрили захватчик буфера обмена, который заменяет адреса криптовалютных кошельков, используя почти идентичные визуальные элементы ( через расстояние Левенштейна ) или активно переопределяет адреса, обнаруженные браузером, чтобы перехватывать транзакции.
Хотя хакеры получили в общей сложности ~$496, большинство затронутых пакетов исправлены или удалены; основные кошельки (, например, MetaMask, Phantom) подтвердили, что они не пострадали, но осторожность остается разумной.
Крупная атака на цепочку поставок NPM скомпрометировала широко используемые пакеты JavaScript — загруженные более 1 миллиарда раз — внедряя похитителей крипто-адресов, которые незаметно крадут средства. Вот что произошло и как защитить себя.
9 сентября по пекинскому времени Чарльз Гийем, главный технологический директор Ledger, опубликовал предупреждение в X: «В настоящее время происходит крупномасштабная атака на цепочку поставок, и учетная запись NPM известного разработчика была скомпрометирована. Затронутые пакеты были загружены более 1 миллиарда раз, что означает, что вся экосистема JavaScript может быть под угрозой.»
Гийемет добавил: "Вредоносный код работает, тихо подменяя адреса криптовалют в фоновом режиме, чтобы украсть средства. Если вы используете аппаратный кошелек, пожалуйста, внимательно проверяйте каждую подписанную транзакцию, и вы будете в безопасности. Если вы не используете аппаратный кошелек, пожалуйста, избегайте проведения любых ончейн-транзакций в настоящее время. Неясно, похищают ли злоумышленники непосредственно мнемонические фразы программных кошельков."
Что случилось?
Согласно отчету о безопасности, приведенному Гийеметом, непосредственной причиной этого инцидента стало взлом NPM счета известного разработчика @qix, что привело к выпуску вредоносных версий десятков программных пакетов, включая chalk, strip-ansi и color-convert. Вредоносный код мог распространиться на терминал, когда разработчики или пользователи автоматически устанавливали зависимости.
Odaily Note: Еженедельные данные загрузки скомпрометированных программных пакетов.
Вкратце, это классический случай атаки на цепочку поставок — атаки, при которой злоумышленник вставляет вредоносный код (, такой как пакеты NPM ), в инструменты разработки или системы зависимостей. NPM, сокращение от Node Package Manager, является самым распространенным инструментом управления пакетами в экосистеме JavaScript/Node.js. Его основные функции включают управление зависимостями, установку и обновление пакетов, а также совместное использование кода.
Экосистема NPM чрезвычайно большая, с миллионами доступных программных пакетов. Практически все Web3 проекты, крипто-кошельки и инструменты фронтенда зависят от NPM. Именно потому, что NPM зависит от большого числа зависимостей и сложных связей, это является высокорисковым входом для атак на цепочку поставок. Как только злоумышленник внедряет вредоносный код в широко используемый программный пакет, это может повлиять на тысячи приложений и пользователей.
Как показано на диаграмме распространения вредоносного кода выше:
Некоторый проект (blue box) будет напрямую зависеть от некоторых общих открытых библиотек, таких как express.
Эти прямые зависимости (green boxes), в свою очередь, зависят от других косвенных зависимостей (yellow boxes, таких как lodash).
Если косвенная зависимость тайно внедрена злонамеренным кодом (красный ящик) злоумышленником, она войдет в проект по цепочке зависимостей.
ЧТО ЭТО ЗНАЧИТ ДЛЯ КРИПТОВАЛЮТ?
Прямое отношение этого инцидента с безопасностью к индустрии криптовалют заключается в том, что вредоносный код, внедренный хакерами в вышеупомянутый зараженный программный пакет, является сложным «перехватчиком буфера обмена криптовалюты», который крадет криптоактивы, заменяя адреса кошельков и перехватывая транзакции.
Основатель Stress Capital GE (@GuarEmperor) объяснил это более подробно на X. "Хайджкер буфера обмена", внедренный хакером, использует два режима атаки: пассивный режим использует "алгоритм расстояния Левенштейна" для замены адреса кошелька, который крайне сложно обнаружить из-за его визуального сходства; активный режим обнаруживает зашифрованный кошелек в браузере и подменяет целевой адрес перед тем, как пользователь подпишет транзакцию.
Поскольку эта атака нацелена на базовые библиотеки JavaScript-проектов, даже проекты, которые косвенно зависят от этих библиотек, могут пострадать.
СКОЛЬКО ПРИБЫЛИ ЗАРАБАТЫВАЮТ ХАКЕРЫ?
Зловредный код, внедренный хакером, также раскрыл его адрес атаки. Основной адрес атаки хакера в Ethereum - 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, а средства в основном поступают из следующих трех адресов:
0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240
x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B
0x30F895a2C66030795131FB66CBaD6a1f91461731
Arkham создала страницу отслеживания для этой атаки, где пользователи могут в реальном времени проверять прибыль хакера и статус перевода.
На момент этой публикации хакеры заработали всего 496 долларов от атаки, но учитывая, что степень распространения вредоносного кода еще не определена, ожидается, что эта цифра может продолжать расти. Разработчик уже был уведомлен и активно работает с командой безопасности NPM, чтобы решить проблему. Вредоносный код теперь был удален из большинства затронутых пакетов, поэтому ситуация находится под контролем.
КАК ИЗБЕЖАТЬ РИСКОВ?
Основатель Defillama @0xngmi Ю С said, что хотя этот инцидент звучит опасно, фактическое воздействие не так преувеличено – потому что этот инцидент повлияет только на веб-сайты, которые внедрили обновления с момента выпуска взломанного пакета NPM, а другие проекты будут продолжать использовать старую версию; и большинство проектов исправят свои зависимости, так что даже если они внедрят обновления, они будут продолжать использовать старый код безопасности.
Однако, поскольку пользователи не могут действительно знать, есть ли у проекта фиксированные зависимости или есть ли у него какие-то динамически загружаемые зависимости, стороне проекта в настоящее время требуется провести самоинспекцию и сначала раскрыть это.
На момент публикации несколько проектов кошельков или приложений, включая MetaMask, Phantom, Aave, Fluid и Jupiter, сообщили, что они не пострадали от этого инцидента. Таким образом, теоретически пользователи могут безопасно использовать подтвержденные защищенные кошельки для доступа к подтвержденным защищенным протоколам. Однако для других кошельков или проектов, которые еще не сделали заявлений о безопасности, может быть безопаснее временно избегать их использования.
〈За ночь "атаки на цепочку поставок" доминировали в заголовках: Что произошло? Как мы можем смягчить риски?〉Эта статья впервые была опубликована в《CoinRank》。