Tài khoản NPM của một nhà phát triển nổi tiếng đã bị hack, phát tán các phiên bản độc hại của các gói như chalk và color-convert, đã được tải xuống hàng tỷ lần—gây ra một rủi ro chuỗi cung ứng lớn.
Các kẻ tấn công đã nhúng một chương trình đánh cắp clipboard thay thế địa chỉ ví crypto bằng các hình ảnh gần giống nhau ( thông qua khoảng cách Levenshtein ) hoặc chủ động ghi đè các địa chỉ được phát hiện bởi trình duyệt để chặn các giao dịch.
Mặc dù hacker đã thu được tổng cộng chỉ khoảng ~$496, hầu hết các gói bị ảnh hưởng đã được sửa chữa hoặc gỡ bỏ; các ví chính ( chẳng hạn như MetaMask, Phantom) đã xác nhận là không bị ảnh hưởng, nhưng vẫn cần thận trọng.
Một cuộc tấn công chuỗi cung ứng NPM lớn đã làm lộ các gói JavaScript được sử dụng rộng rãi—được tải xuống hơn 1 tỷ lần—tiêm vào các trình đánh cắp địa chỉ tiền điện tử mà lén lút đánh cắp tiền. Đây là những gì đã xảy ra và cách bảo vệ bản thân.
Vào lúc 9 tháng 9, theo giờ Bắc Kinh, Charles Guillemet, Giám đốc Công nghệ của Ledger, đã công bố một cảnh báo trên X: ” Một cuộc tấn công chuỗi cung ứng quy mô lớn đang diễn ra, và tài khoản NPM của một nhà phát triển nổi tiếng đã bị xâm phạm. Các gói bị ảnh hưởng đã được tải xuống hơn 1 tỷ lần, điều này có nghĩa là toàn bộ hệ sinh thái JavaScript có thể đang gặp rủi ro. “
Guillemet cho biết: “Mã độc hoạt động bằng cách âm thầm can thiệp vào các địa chỉ tiền điện tử ở nền tảng để đánh cắp tài sản. Nếu bạn sử dụng ví phần cứng, xin vui lòng kiểm tra cẩn thận mọi giao dịch đã ký và bạn sẽ an toàn. Nếu bạn không sử dụng ví phần cứng, xin vui lòng tránh thực hiện bất kỳ giao dịch trên chuỗi nào trong thời gian này. Chưa rõ liệu các kẻ tấn công có đang đánh cắp trực tiếp các cụm từ ghi nhớ của ví phần mềm hay không.”
CHUYỆN GÌ ĐÃ XẢY RA?
Theo báo cáo an ninh được Guillemet trích dẫn, nguyên nhân trực tiếp của sự cố này là tài khoản NPM của nhà phát triển nổi tiếng @qix đã bị hack, dẫn đến việc phát hành các phiên bản độc hại của hàng chục gói phần mềm, bao gồm chalk, strip-ansi và color-convert. Mã độc có thể đã lây lan đến terminal khi các nhà phát triển hoặc người dùng tự động cài đặt các phụ thuộc.
Odaily Note: Dữ liệu tải xuống hàng tuần của các gói phần mềm bị xâm phạm.
Tóm lại, đây là một trường hợp điển hình của một cuộc tấn công chuỗi cung ứng—một cuộc tấn công trong đó một kẻ tấn công chèn mã độc ( như các gói NPM ) vào các công cụ phát triển hoặc hệ thống phụ thuộc. NPM, viết tắt của Node Package Manager, là công cụ quản lý gói được sử dụng phổ biến nhất trong hệ sinh thái JavaScript/Node.js. Các chức năng chính của nó bao gồm quản lý các phụ thuộc, cài đặt và cập nhật các gói, và chia sẻ mã.
Hệ sinh thái NPM cực kỳ lớn, với hàng triệu gói phần mềm hiện có. Gần như tất cả các dự án Web3, ví tiền điện tử và công cụ front-end đều dựa vào NPM. Chính vì NPM phụ thuộc vào một số lượng lớn các thư viện và liên kết phức tạp, nó trở thành một điểm xâm nhập có rủi ro cao cho các cuộc tấn công chuỗi cung ứng. Chỉ cần một kẻ tấn công cài đặt mã độc hại vào một gói phần mềm được sử dụng phổ biến, nó có thể ảnh hưởng đến hàng nghìn ứng dụng và người dùng.
Như được thể hiện trong biểu đồ lưu đồ phát tán mã độc ở trên:
Một dự án nhất định (hộp màu xanh ) sẽ phụ thuộc trực tiếp vào một số thư viện mã nguồn mở chung, chẳng hạn như express.
Các phụ thuộc trực tiếp này (hộp xanh) lại phụ thuộc vào các phụ thuộc gián tiếp khác (hộp vàng, chẳng hạn như lodash).
Nếu một phụ thuộc gián tiếp bị cài cắm bí mật mã độc (red box) bởi một kẻ tấn công, nó sẽ xâm nhập vào dự án thông qua chuỗi phụ thuộc.
ĐIỀU NÀY CÓ NGHĨA GÌ ĐỐI VỚI CÁC LOẠI TIỀN KỸ THUẬT SỐ?
Mối liên hệ trực tiếp của sự cố an ninh này với ngành công nghiệp tiền điện tử nằm ở chỗ mã độc được các hacker cài vào gói phần mềm ô nhiễm đã đề cập ở trên là một "trình chiếm đoạt clipboard tiền điện tử" tinh vi, đánh cắp tài sản tiền điện tử bằng cách thay thế địa chỉ ví và chiếm đoạt các giao dịch.
Người sáng lập Stress Capital GE (@GuarEmperor) đã giải thích chi tiết hơn về điều này trên X. "Trình chiếm đoạt clipboard" được tiêm bởi hacker sử dụng hai chế độ tấn công: chế độ thụ động sử dụng "thuật toán khoảng cách Levenshtein" để thay thế địa chỉ ví, điều này cực kỳ khó phát hiện do sự tương đồng về hình thức; chế độ chủ động phát hiện ví được mã hóa trong trình duyệt và đã can thiệp vào địa chỉ mục tiêu trước khi người dùng ký giao dịch.
Vì cuộc tấn công này nhắm vào các thư viện lớp cơ sở dự án JavaScript, ngay cả những dự án phụ thuộc gián tiếp vào các thư viện này cũng có thể bị ảnh hưởng.
HACKER KIẾM ĐƯỢC BAO NHIÊU LỢI NHUẬN?
Mã độc được cài đặt bởi hacker cũng đã tiết lộ địa chỉ tấn công của nó. Địa chỉ tấn công chính của hacker trên Ethereum là 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, và các quỹ chủ yếu đến từ ba địa chỉ sau đây:
0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240
x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B
0x30F895a2C66030795131FB66CBaD6a1f91461731
Arkham đã tạo một trang theo dõi cho cuộc tấn công này, nơi người dùng có thể kiểm tra lợi nhuận của hacker và trạng thái chuyển tiền trong thời gian thực.
Tính đến bài viết này, những kẻ hack chỉ thu lời được 496 USD từ cuộc tấn công, nhưng xét rằng mức độ lây lan của mã độc vẫn chưa được xác định, dự kiến con số này có thể tiếp tục tăng lên. Nhà phát triển đã được thông báo và đang tích cực làm việc với đội ngũ bảo mật NPM để giải quyết vấn đề. Mã độc hiện đã được gỡ bỏ khỏi hầu hết các gói bị ảnh hưởng, vì vậy tình hình đang được kiểm soát.
LÀM THẾ NÀO ĐỂ TRÁNH RỦI RO?
Người sáng lập Defillama @0xngmi Yu X cho biết rằng mặc dù sự cố này nghe có vẻ nguy hiểm, nhưng tác động thực tế không lớn như vậy - vì sự cố này chỉ ảnh hưởng đến các trang web đã cập nhật kể từ khi gói NPM bị hack được phát hành, và các dự án khác sẽ vẫn sử dụng phiên bản cũ; và hầu hết các dự án sẽ sửa chữa các phụ thuộc của họ, vì vậy ngay cả khi họ cập nhật, họ sẽ tiếp tục sử dụng mã bảo mật cũ.
Tuy nhiên, vì người dùng không thể thực sự biết liệu một dự án có phụ thuộc cố định hay có một số phụ thuộc được tải xuống động hay không, nên bên dự án hiện tại được yêu cầu tiến hành tự kiểm tra và công bố trước.
Tại thời điểm đăng bài này, nhiều dự án ví hoặc ứng dụng, bao gồm MetaMask, Phantom, Aave, Fluid, và Jupiter, đã công bố rằng họ không bị ảnh hưởng bởi sự cố này. Do đó, về lý thuyết, người dùng có thể an toàn sử dụng các ví đã được xác nhận là an toàn để truy cập các giao thức đã được xác nhận là an toàn. Tuy nhiên, đối với các ví hoặc dự án khác chưa công bố thông tin về an ninh, có thể an toàn hơn khi tạm thời tránh sử dụng chúng.
〈Qua đêm, "các cuộc tấn công chuỗi cung ứng" đã chiếm lĩnh các tiêu đề: Điều gì đã xảy ra? Làm thế nào chúng ta có thể giảm thiểu rủi ro?〉Bài viết này được phát hành lần đầu tiên trên 《CoinRank》.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Qua đêm, "các cuộc tấn công chuỗi cung ứng" đã chiếm lĩnh các tiêu đề: Điều gì đã xảy ra? Làm thế nào chúng ta có thể giảm thiểu các rủi ro?
Tài khoản NPM của một nhà phát triển nổi tiếng đã bị hack, phát tán các phiên bản độc hại của các gói như chalk và color-convert, đã được tải xuống hàng tỷ lần—gây ra một rủi ro chuỗi cung ứng lớn.
Các kẻ tấn công đã nhúng một chương trình đánh cắp clipboard thay thế địa chỉ ví crypto bằng các hình ảnh gần giống nhau ( thông qua khoảng cách Levenshtein ) hoặc chủ động ghi đè các địa chỉ được phát hiện bởi trình duyệt để chặn các giao dịch.
Mặc dù hacker đã thu được tổng cộng chỉ khoảng ~$496, hầu hết các gói bị ảnh hưởng đã được sửa chữa hoặc gỡ bỏ; các ví chính ( chẳng hạn như MetaMask, Phantom) đã xác nhận là không bị ảnh hưởng, nhưng vẫn cần thận trọng.
Một cuộc tấn công chuỗi cung ứng NPM lớn đã làm lộ các gói JavaScript được sử dụng rộng rãi—được tải xuống hơn 1 tỷ lần—tiêm vào các trình đánh cắp địa chỉ tiền điện tử mà lén lút đánh cắp tiền. Đây là những gì đã xảy ra và cách bảo vệ bản thân.
Vào lúc 9 tháng 9, theo giờ Bắc Kinh, Charles Guillemet, Giám đốc Công nghệ của Ledger, đã công bố một cảnh báo trên X: ” Một cuộc tấn công chuỗi cung ứng quy mô lớn đang diễn ra, và tài khoản NPM của một nhà phát triển nổi tiếng đã bị xâm phạm. Các gói bị ảnh hưởng đã được tải xuống hơn 1 tỷ lần, điều này có nghĩa là toàn bộ hệ sinh thái JavaScript có thể đang gặp rủi ro. “
Guillemet cho biết: “Mã độc hoạt động bằng cách âm thầm can thiệp vào các địa chỉ tiền điện tử ở nền tảng để đánh cắp tài sản. Nếu bạn sử dụng ví phần cứng, xin vui lòng kiểm tra cẩn thận mọi giao dịch đã ký và bạn sẽ an toàn. Nếu bạn không sử dụng ví phần cứng, xin vui lòng tránh thực hiện bất kỳ giao dịch trên chuỗi nào trong thời gian này. Chưa rõ liệu các kẻ tấn công có đang đánh cắp trực tiếp các cụm từ ghi nhớ của ví phần mềm hay không.”
CHUYỆN GÌ ĐÃ XẢY RA?
Theo báo cáo an ninh được Guillemet trích dẫn, nguyên nhân trực tiếp của sự cố này là tài khoản NPM của nhà phát triển nổi tiếng @qix đã bị hack, dẫn đến việc phát hành các phiên bản độc hại của hàng chục gói phần mềm, bao gồm chalk, strip-ansi và color-convert. Mã độc có thể đã lây lan đến terminal khi các nhà phát triển hoặc người dùng tự động cài đặt các phụ thuộc.
Odaily Note: Dữ liệu tải xuống hàng tuần của các gói phần mềm bị xâm phạm.
Tóm lại, đây là một trường hợp điển hình của một cuộc tấn công chuỗi cung ứng—một cuộc tấn công trong đó một kẻ tấn công chèn mã độc ( như các gói NPM ) vào các công cụ phát triển hoặc hệ thống phụ thuộc. NPM, viết tắt của Node Package Manager, là công cụ quản lý gói được sử dụng phổ biến nhất trong hệ sinh thái JavaScript/Node.js. Các chức năng chính của nó bao gồm quản lý các phụ thuộc, cài đặt và cập nhật các gói, và chia sẻ mã.
Hệ sinh thái NPM cực kỳ lớn, với hàng triệu gói phần mềm hiện có. Gần như tất cả các dự án Web3, ví tiền điện tử và công cụ front-end đều dựa vào NPM. Chính vì NPM phụ thuộc vào một số lượng lớn các thư viện và liên kết phức tạp, nó trở thành một điểm xâm nhập có rủi ro cao cho các cuộc tấn công chuỗi cung ứng. Chỉ cần một kẻ tấn công cài đặt mã độc hại vào một gói phần mềm được sử dụng phổ biến, nó có thể ảnh hưởng đến hàng nghìn ứng dụng và người dùng.
Như được thể hiện trong biểu đồ lưu đồ phát tán mã độc ở trên:
Một dự án nhất định (hộp màu xanh ) sẽ phụ thuộc trực tiếp vào một số thư viện mã nguồn mở chung, chẳng hạn như express.
Các phụ thuộc trực tiếp này (hộp xanh) lại phụ thuộc vào các phụ thuộc gián tiếp khác (hộp vàng, chẳng hạn như lodash).
Nếu một phụ thuộc gián tiếp bị cài cắm bí mật mã độc (red box) bởi một kẻ tấn công, nó sẽ xâm nhập vào dự án thông qua chuỗi phụ thuộc.
ĐIỀU NÀY CÓ NGHĨA GÌ ĐỐI VỚI CÁC LOẠI TIỀN KỸ THUẬT SỐ?
Mối liên hệ trực tiếp của sự cố an ninh này với ngành công nghiệp tiền điện tử nằm ở chỗ mã độc được các hacker cài vào gói phần mềm ô nhiễm đã đề cập ở trên là một "trình chiếm đoạt clipboard tiền điện tử" tinh vi, đánh cắp tài sản tiền điện tử bằng cách thay thế địa chỉ ví và chiếm đoạt các giao dịch.
Người sáng lập Stress Capital GE (@GuarEmperor) đã giải thích chi tiết hơn về điều này trên X. "Trình chiếm đoạt clipboard" được tiêm bởi hacker sử dụng hai chế độ tấn công: chế độ thụ động sử dụng "thuật toán khoảng cách Levenshtein" để thay thế địa chỉ ví, điều này cực kỳ khó phát hiện do sự tương đồng về hình thức; chế độ chủ động phát hiện ví được mã hóa trong trình duyệt và đã can thiệp vào địa chỉ mục tiêu trước khi người dùng ký giao dịch.
Vì cuộc tấn công này nhắm vào các thư viện lớp cơ sở dự án JavaScript, ngay cả những dự án phụ thuộc gián tiếp vào các thư viện này cũng có thể bị ảnh hưởng.
HACKER KIẾM ĐƯỢC BAO NHIÊU LỢI NHUẬN?
Mã độc được cài đặt bởi hacker cũng đã tiết lộ địa chỉ tấn công của nó. Địa chỉ tấn công chính của hacker trên Ethereum là 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, và các quỹ chủ yếu đến từ ba địa chỉ sau đây:
0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240
x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B
0x30F895a2C66030795131FB66CBaD6a1f91461731
Arkham đã tạo một trang theo dõi cho cuộc tấn công này, nơi người dùng có thể kiểm tra lợi nhuận của hacker và trạng thái chuyển tiền trong thời gian thực.
Tính đến bài viết này, những kẻ hack chỉ thu lời được 496 USD từ cuộc tấn công, nhưng xét rằng mức độ lây lan của mã độc vẫn chưa được xác định, dự kiến con số này có thể tiếp tục tăng lên. Nhà phát triển đã được thông báo và đang tích cực làm việc với đội ngũ bảo mật NPM để giải quyết vấn đề. Mã độc hiện đã được gỡ bỏ khỏi hầu hết các gói bị ảnh hưởng, vì vậy tình hình đang được kiểm soát.
LÀM THẾ NÀO ĐỂ TRÁNH RỦI RO?
Người sáng lập Defillama @0xngmi Yu X cho biết rằng mặc dù sự cố này nghe có vẻ nguy hiểm, nhưng tác động thực tế không lớn như vậy - vì sự cố này chỉ ảnh hưởng đến các trang web đã cập nhật kể từ khi gói NPM bị hack được phát hành, và các dự án khác sẽ vẫn sử dụng phiên bản cũ; và hầu hết các dự án sẽ sửa chữa các phụ thuộc của họ, vì vậy ngay cả khi họ cập nhật, họ sẽ tiếp tục sử dụng mã bảo mật cũ.
Tuy nhiên, vì người dùng không thể thực sự biết liệu một dự án có phụ thuộc cố định hay có một số phụ thuộc được tải xuống động hay không, nên bên dự án hiện tại được yêu cầu tiến hành tự kiểm tra và công bố trước.
Tại thời điểm đăng bài này, nhiều dự án ví hoặc ứng dụng, bao gồm MetaMask, Phantom, Aave, Fluid, và Jupiter, đã công bố rằng họ không bị ảnh hưởng bởi sự cố này. Do đó, về lý thuyết, người dùng có thể an toàn sử dụng các ví đã được xác nhận là an toàn để truy cập các giao thức đã được xác nhận là an toàn. Tuy nhiên, đối với các ví hoặc dự án khác chưa công bố thông tin về an ninh, có thể an toàn hơn khi tạm thời tránh sử dụng chúng.
〈Qua đêm, "các cuộc tấn công chuỗi cung ứng" đã chiếm lĩnh các tiêu đề: Điều gì đã xảy ra? Làm thế nào chúng ta có thể giảm thiểu rủi ro?〉Bài viết này được phát hành lần đầu tiên trên 《CoinRank》.