Согласно новому исследованию компании Aikido Security, в экосистеме JavaScript произошла крупная атака на цепочку поставок, которая затронула сотни программных пакетов — включая как минимум 10 широко используемых в криптопространстве.
В публикации от понедельника исследователь Aikido Security Чарли Эриксен предоставил список более 400 пакетов, показывающих признаки заражения самореплицирующимся вредоносным ПО «Shai Hulud». Эриксен подчеркнул, что каждое обнаружение было проверено для исключения ложных срабатываний.
Многие из затронутых криптографических пакетов еженедельно скачиваются десятками тысяч раз и имеют многочисленные зависимости. В публикации на X исследователь также предупредил команду Ethereum Name Service (ENS) о компрометации нескольких их пакетов.
Источник: Чарли Эриксен
Shai Hulud является частью растущего тренда атак на цепочки поставок. В начале сентября крупнейшая из зафиксированных атак на NPM привела к краже криптовалюты на $50 миллионов. Amazon Web Services отметили, что уже через неделю после первой атаки началось автономное распространение червя Shai-Hulud.
В отличие от предыдущей атаки, напрямую нацеленной на кражу активов, Shai-Hulud представляет собой универсальное вредоносное ПО для кражи учетных данных, которое автономно распространяется по инфраструктуре разработчиков. Если в зараженной среде содержатся ключи кошельков, malware украдет их как «секреты» наравне с другими учетными данными.
По теме: Неудачная эксплуатация NPM подчеркивает нависшую угрозу безопасности криптовалют: мнение эксперта
Какие криптопакеты затронуты?
Среди всех скомпрометированных пакетов как минимум 10 относятся непосредственно к криптоиндустрии, причем почти все они связаны с ENS — сервисом человеко-читаемых адресов. В список попали:
- content-hash от ENS — почти 36 000 еженедельных загрузок, 91 зависимый пакет
- address-encoder — свыше 37 500 загрузок в неделю
- ensjs — более 30 000 еженедельных загрузок
- ens-validation — 1 750 загрузок в неделю
- ethereum-ens — 12 650 еженедельных загрузок
- ens-contracts — почти 3 100 загрузок в неделю
- crypto-addr-codec (не связанный с ENS) — около 35 000 загрузок
По теме: Пропало $27 миллионов, приватные ключи не скомпрометированы: как произошел взлом BigONE
Популярные некриптографические пакеты под ударом
Среди затронутых некриптографических пакетов — решения от корпоративной платформы автоматизации Zapier, включая пакет с более чем 40 000 загрузок в неделю. В последующем посте Эриксен указал на другие инфицированные пакеты, некоторые из которых имеют почти 70 000 еженедельных загрузок, а также на пакет с более чем 1,5 миллиона загрузок в неделю.
«Масштаб этой новой атаки Shai Hulud поистине огромен; мы все еще работаем над подтверждением всех случаев», — написал Эриксен на X.
«Она заставит предыдущую атаку выглядеть ничем.»
Исследователи компании кибербезопасности Wiz заявляют, что обнаружили «свыше 25 000 затронутых репозиториев у ~350 уникальных пользователей, при этом каждые 30 минут добавляется 1 000 новых репозиториев». Компания рекомендует «немедленное расследование и устранение угрозы» для любой среды, использующей npm.
Журнал: «Помогите! Мой робот-пылесос крадет мой Биткоин»: когда умные устройства атакуют
Пока нет обсуждений.