Акаунт NPM відомого розробника був зламаний, внаслідок чого були випущені шкідливі версії пакетів, таких як chalk та color-convert, завантажених мільярди разів — що викликало величезний ризик для постачальницького ланцюга.
Зловмисники вбудували програма для захоплення буфера обміну, яка замінює адреси крипто-гаманців, використовуючи майже ідентичні візуальні елементи ( через відстань Левенштейна ) або активно перезаписує адреси, виявлені браузером, щоб перехоплювати транзакції.
Хоча загальний обсяг прибутків хакера становить близько ~$496, більшість постраждалих пакетів виправлені або видалені; основні гаманці (, наприклад MetaMask, Phantom), підтвердили, що не постраждали, але обережність залишається важливою.
Велика атака на постачальників NPM скомпрометувала широко використовувані пакунки JavaScript — завантажені понад 1 мільярд разів — інжектуючи хакерів, які крадуть крипто-адреси і тихо викрадають кошти. Ось що сталося і як захистити себе.
9 вересня, за пекинським часом, Шарль Гійєм, технічний директор Ledger, опублікував попередження в X: ” В даний час триває масштабна атака на ланцюг постачання, і акаунт NPM відомого розробника було скомпрометовано. Підприємства, які постраждали, були завантажені більше 1 мільярда разів, що означає, що вся екосистема JavaScript може бути під загрозою. “
Гільємет додав: "Зловмисний код працює, тихо підмінюючи криптовалютні адреси у фоновому режимі, щоб вкрасти кошти. Якщо ви використовуєте апаратний гаманець, будь ласка, уважно перевірте кожну підписану транзакцію, і ви будете в безпеці. Якщо ви не користуєтеся апаратним гаманцем, будь ласка, уникайте здійснення будь-яких ончейн-транзакцій на даний момент. Невідомо, чи безпосередньо зловмисники крадуть мнемонічні фрази програмних гаманців."
ЩО СТАЛОСЯ?
Згідно з доповіддю про безпеку, на яке посилався Гійомет, безпосередньою причиною цього інциденту стало зламу акаунта NPM відомого розробника @qix, що призвело до випуску шкідливих версій десятків програмних пакетів, зокрема chalk, strip-ansi та color-convert. Шкідливий код міг поширитися на термінал, коли розробники або користувачі автоматично встановлювали залежності.
Odaily Note: Тижневі дані завантаження скомпрометованих програмних пакетів.
Коротко кажучи, це класичний випадок атаки на ланцюг постачання—атака, в якій зловмисник вставляє шкідливий код (, такий як пакети NPM) в інструменти розробки або системи залежностей. NPM, що означає Node Package Manager, є найпоширенішим інструментом управління пакетами в екосистемі JavaScript/Node.js. Його основні функції включають управління залежностями, установку та оновлення пакетів, а також обмін кодом.
Екосистема NPM є надзвичайно великою, з мільйонами доступних програмних пакетів. Майже всі проекти Web3, криптовалюти та інструменти переднього плану покладаються на NPM. Саме тому, що NPM залежить від великої кількості залежностей та складних зв'язків, це є високоризиковою точкою входу для атак на ланцюги постачання. Як тільки зловмисник імплантує шкідливий код у широко використовуваний програмний пакет, це може вплинути на тисячі додатків та користувачів.
Як показано на діаграмі поширення шкідливого коду вище:
Певний проект (blue box) буде безпосередньо залежати від деяких загальних бібліотек з відкритим вихідним кодом, таких як express.
Ці прямі залежності (зелені коробки), у свою чергу, залежать від інших непрямих залежностей (жовті коробки, таких як lodash).
Якщо непряма залежність таємно вбудована з шкідливим кодом (червоний ящик) зловмисником, вона потрапить у проект через ланцюг залежностей.
ЩО ЦЕ ОЗНАЧАЄ ДЛЯ КРИПТОВАЛЮТ?
Пряма зв'язок цього інциденту безпеки з індустрією криптовалют полягає в тому, що шкідливий код, implantований хакерами у вищезгаданий забруднений програмний пакет, є складним "викрадачем буфера обміну криптовалют", який краде крипто-активи, замінюючи адреси гаманців і перехоплюючи транзакції.
Засновник Stress Capital GE (@GuarEmperor) пояснив це більш детально на X. "Хайджакер буфера обміну" , введений хакером, використовує два режими атаки: пасивний режим використовує "алгоритм відстані Левенштейна" для заміни адреси гаманця, що є надзвичайно важким для виявлення через його візуальну схожість; активний режим виявляє зашифрований гаманець у браузері та підміняє цільову адресу перед тим, як користувач підписує транзакцію.
Оскільки ця атака націлена на базові бібліотеки проектів JavaScript, навіть проекти, які опосередковано покладаються на ці бібліотеки, можуть бути під загрозою.
ЯКИЙ ПРИБУТОК ОТРИМУЮТЬ ХАКЕРИ?
Зловмисний код, впроваджений хакером, також розкрив його адресу атаки. Основна адреса атаки хакера в Ethereum - 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, а кошти в основному надходять з наступних трьох адрес:
0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240
x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B
0x30F895a2C66030795131FB66CBaD6a1f91461731
Arkham створив сторінку відстеження для цієї атаки, де користувачі можуть перевірити прибуток хакера та статус переказу в реальному часі.
На момент публікації цього посту, хакери заробили лише 496 доларів з атаки, але враховуючи, що обсяг поширення шкідливого коду ще не визначено, очікується, що ця цифра може продовжувати зростати. Розробника вже сповістили, і він активно співпрацює з командою з безпеки NPM для вирішення проблеми. Шкідливий код вже був видалений з більшості постраждалих пакетів, тому ситуація під контролем.
ЯК УНИКНУТИ РИЗИКІВ?
Засновник Defillama @0xngmi Юй С сказав, що хоча цей інцидент звучить небезпечно, фактичний вплив не такий перебільшений – тому що цей інцидент вплине лише на веб-сайти, які впровадили оновлення з моменту випуску зламаного пакету NPM, а інші проекти все ще використовуватимуть стару версію; і більшість проектів виправлять свої залежності, тому навіть якщо вони впровадять оновлення, вони продовжать використовувати старий код безпеки.
Однак, оскільки користувачі не можуть насправді знати, чи має проект фіксовані залежності або чи має він якісь динамічно завантажені залежності, сторона проекту наразі зобов'язана провести самоперевірку та спочатку розкрити це.
На момент публікації цього повідомлення кілька проектів гаманців або додатків, включаючи MetaMask, Phantom, Aave, Fluid та Jupiter, повідомили, що вони не постраждали від цього інциденту. Отже, теоретично, користувачі можуть безпечно використовувати підтверджені безпечні гаманці для доступу до підтверджених безпечних протоколів. Однак для інших гаманців або проектів, які ще не зробили розкриття безпеки, може бути безпечніше тимчасово уникати їх використання.
〈Вночі "атаки на ланцюги постачання" домінували в заголовках: Що сталося? Як ми можемо зменшити ризики?〉Ця стаття вперше була опублікована в «CoinRank».
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Вночі "атаки на ланцюг постачання" домінували в заголовках: Що сталося? Як ми можемо зменшити ризики?
Акаунт NPM відомого розробника був зламаний, внаслідок чого були випущені шкідливі версії пакетів, таких як chalk та color-convert, завантажених мільярди разів — що викликало величезний ризик для постачальницького ланцюга.
Зловмисники вбудували програма для захоплення буфера обміну, яка замінює адреси крипто-гаманців, використовуючи майже ідентичні візуальні елементи ( через відстань Левенштейна ) або активно перезаписує адреси, виявлені браузером, щоб перехоплювати транзакції.
Хоча загальний обсяг прибутків хакера становить близько ~$496, більшість постраждалих пакетів виправлені або видалені; основні гаманці (, наприклад MetaMask, Phantom), підтвердили, що не постраждали, але обережність залишається важливою.
Велика атака на постачальників NPM скомпрометувала широко використовувані пакунки JavaScript — завантажені понад 1 мільярд разів — інжектуючи хакерів, які крадуть крипто-адреси і тихо викрадають кошти. Ось що сталося і як захистити себе.
9 вересня, за пекинським часом, Шарль Гійєм, технічний директор Ledger, опублікував попередження в X: ” В даний час триває масштабна атака на ланцюг постачання, і акаунт NPM відомого розробника було скомпрометовано. Підприємства, які постраждали, були завантажені більше 1 мільярда разів, що означає, що вся екосистема JavaScript може бути під загрозою. “
Гільємет додав: "Зловмисний код працює, тихо підмінюючи криптовалютні адреси у фоновому режимі, щоб вкрасти кошти. Якщо ви використовуєте апаратний гаманець, будь ласка, уважно перевірте кожну підписану транзакцію, і ви будете в безпеці. Якщо ви не користуєтеся апаратним гаманцем, будь ласка, уникайте здійснення будь-яких ончейн-транзакцій на даний момент. Невідомо, чи безпосередньо зловмисники крадуть мнемонічні фрази програмних гаманців."
ЩО СТАЛОСЯ?
Згідно з доповіддю про безпеку, на яке посилався Гійомет, безпосередньою причиною цього інциденту стало зламу акаунта NPM відомого розробника @qix, що призвело до випуску шкідливих версій десятків програмних пакетів, зокрема chalk, strip-ansi та color-convert. Шкідливий код міг поширитися на термінал, коли розробники або користувачі автоматично встановлювали залежності.
Odaily Note: Тижневі дані завантаження скомпрометованих програмних пакетів.
Коротко кажучи, це класичний випадок атаки на ланцюг постачання—атака, в якій зловмисник вставляє шкідливий код (, такий як пакети NPM) в інструменти розробки або системи залежностей. NPM, що означає Node Package Manager, є найпоширенішим інструментом управління пакетами в екосистемі JavaScript/Node.js. Його основні функції включають управління залежностями, установку та оновлення пакетів, а також обмін кодом.
Екосистема NPM є надзвичайно великою, з мільйонами доступних програмних пакетів. Майже всі проекти Web3, криптовалюти та інструменти переднього плану покладаються на NPM. Саме тому, що NPM залежить від великої кількості залежностей та складних зв'язків, це є високоризиковою точкою входу для атак на ланцюги постачання. Як тільки зловмисник імплантує шкідливий код у широко використовуваний програмний пакет, це може вплинути на тисячі додатків та користувачів.
Як показано на діаграмі поширення шкідливого коду вище:
Певний проект (blue box) буде безпосередньо залежати від деяких загальних бібліотек з відкритим вихідним кодом, таких як express.
Ці прямі залежності (зелені коробки), у свою чергу, залежать від інших непрямих залежностей (жовті коробки, таких як lodash).
Якщо непряма залежність таємно вбудована з шкідливим кодом (червоний ящик) зловмисником, вона потрапить у проект через ланцюг залежностей.
ЩО ЦЕ ОЗНАЧАЄ ДЛЯ КРИПТОВАЛЮТ?
Пряма зв'язок цього інциденту безпеки з індустрією криптовалют полягає в тому, що шкідливий код, implantований хакерами у вищезгаданий забруднений програмний пакет, є складним "викрадачем буфера обміну криптовалют", який краде крипто-активи, замінюючи адреси гаманців і перехоплюючи транзакції.
Засновник Stress Capital GE (@GuarEmperor) пояснив це більш детально на X. "Хайджакер буфера обміну" , введений хакером, використовує два режими атаки: пасивний режим використовує "алгоритм відстані Левенштейна" для заміни адреси гаманця, що є надзвичайно важким для виявлення через його візуальну схожість; активний режим виявляє зашифрований гаманець у браузері та підміняє цільову адресу перед тим, як користувач підписує транзакцію.
Оскільки ця атака націлена на базові бібліотеки проектів JavaScript, навіть проекти, які опосередковано покладаються на ці бібліотеки, можуть бути під загрозою.
ЯКИЙ ПРИБУТОК ОТРИМУЮТЬ ХАКЕРИ?
Зловмисний код, впроваджений хакером, також розкрив його адресу атаки. Основна адреса атаки хакера в Ethereum - 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, а кошти в основному надходять з наступних трьох адрес:
0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240
x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B
0x30F895a2C66030795131FB66CBaD6a1f91461731
Arkham створив сторінку відстеження для цієї атаки, де користувачі можуть перевірити прибуток хакера та статус переказу в реальному часі.
На момент публікації цього посту, хакери заробили лише 496 доларів з атаки, але враховуючи, що обсяг поширення шкідливого коду ще не визначено, очікується, що ця цифра може продовжувати зростати. Розробника вже сповістили, і він активно співпрацює з командою з безпеки NPM для вирішення проблеми. Шкідливий код вже був видалений з більшості постраждалих пакетів, тому ситуація під контролем.
ЯК УНИКНУТИ РИЗИКІВ?
Засновник Defillama @0xngmi Юй С сказав, що хоча цей інцидент звучить небезпечно, фактичний вплив не такий перебільшений – тому що цей інцидент вплине лише на веб-сайти, які впровадили оновлення з моменту випуску зламаного пакету NPM, а інші проекти все ще використовуватимуть стару версію; і більшість проектів виправлять свої залежності, тому навіть якщо вони впровадять оновлення, вони продовжать використовувати старий код безпеки.
Однак, оскільки користувачі не можуть насправді знати, чи має проект фіксовані залежності або чи має він якісь динамічно завантажені залежності, сторона проекту наразі зобов'язана провести самоперевірку та спочатку розкрити це.
На момент публікації цього повідомлення кілька проектів гаманців або додатків, включаючи MetaMask, Phantom, Aave, Fluid та Jupiter, повідомили, що вони не постраждали від цього інциденту. Отже, теоретично, користувачі можуть безпечно використовувати підтверджені безпечні гаманці для доступу до підтверджених безпечних протоколів. Однак для інших гаманців або проектів, які ще не зробили розкриття безпеки, може бути безпечніше тимчасово уникати їх використання.
〈Вночі "атаки на ланцюги постачання" домінували в заголовках: Що сталося? Як ми можемо зменшити ризики?〉Ця стаття вперше була опублікована в «CoinRank».