Atac Masiv asupra Portofelelor Ethereum și Solana prin 'npm', dar s-au Furat Doar 5 Cenți
Un furt de acreditări a colectat nume de utilizator, parolă și coduri 2FA înainte de a le trimite către o gazdă externă. Cu acces complet, atacatorul a republicat fiecare pachet "qix" cu o sarcină utilă axată pe criptomonede.
De Shaurya Malwa | Editat de Aoyon Ashraf 9 septembrie 2025, 13:00
Ce trebuie să știți:
Un atac de tip phishing a compromis un dezvoltator Node.js important, ducând la inserarea de cod malițios în pachete utilizate pe scară largă. Echipele de securitate se confruntă cu costuri semnificative pentru actualizarea sistemelor, în ciuda faptului că atacatorul a obținut doar beneficii financiare minime. Atacul a exploatat pachetele npm pentru a redirecționa tranzacțiile Ethereum și Solana, deși impactul financiar a fost neglijabil.
Un e-mail de tip phishing de luni a doborât unul dintre cei mai prolifici dezvoltatori Node.js, introducând cod malițios în pachete descărcate de miliarde de ori pe săptămână, într-un atac pe lanțul de aprovizionare software considerat a fi cel mai mare din ultimul timp.
Deși anvergura atacului este masivă, Security Alliance a declarat într-un raport de marți că atacatorul a plecat cu doar câțiva cenți. Cu toate acestea, echipele de securitate se confruntă acum cu costuri substanțiale pentru actualizarea sistemelor backend pentru a contracara alte atacuri.
Un administrator foarte popular a cărui muncă (cum ar fi chalk și debug-js) este utilizată în miliarde de descărcări în fiecare săptămână, cunoscut sub numele de "qix", responsabil pentru biblioteci precum chalk și debug-js, a fost compromis săptămâna trecută după ce a primit un e-mail de la support@npmjs[.]help. Domeniul a indicat odată către un server rusesc și a redirecționat către o pagină de autentificare cu doi factori falsificată, găzduită pe rețeaua de livrare a conținutului BunnyCDN.
Instrumentul de furt de credențiale a colectat nume de utilizator, parolă și coduri 2FA înainte de a le trimite către o gazdă externă. Cu acces complet, atacatorul a republicat fiecare pachet qix cu o sarcină utilă axată pe criptomonede.
Node Package Manager (prescurtat npm, nu NPM) este ca un magazin de aplicații pentru dezvoltatori și este locul unde programatorii descarcă mici blocuri de cod (numite pachete) în loc să scrie totul de la zero. Un administrator este persoana sau entitatea care creează și actualizează aceste pachete.
Cum s-a produs atacul Codul injectat a fost simplu. A verificat dacă window.ethereum era prezent și, dacă da, s-a conectat la funcțiile de tranzacție de bază ale Ethereum. Apelurile către approve, permit, transfer sau transferFrom au fost redirecționate în tăcere către un singur portofel, "0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976". Orice tranzacție Ethereum cu valoare și fără date a fost, de asemenea, redirecționată.
Pentru Solana, malware-ul a suprascris destinatarii cu un șir de caractere nevalid care începe cu "1911…", întrerupând complet transferurile. Solicitările de rețea au fost, de asemenea, interceptate. Prin deturnarea fetch și XMLHttpRequest, malware-ul a scanat răspunsurile JSON pentru subșiruri care seamănă cu adrese de portofel și le-a înlocuit cu una dintre cele 280 de alternative codificate pentru a arăta înșelător de similar.
Impactul atacului Dar, pentru toată distribuția, impactul a fost neglijabil. Datele din lanț arată că atacatorul a primit doar aproximativ cinci cenți de ether și aproximativ 20 de dolari dintr-o memecoin ilichidă care s-a tranzacționat cu mai puțin de 600 de dolari în volum, a spus raportul Security Alliance.
Popularul portofel de browser MetaMask a mai spus pe X că nu a fost afectat de atacul lanțului de aprovizionare npm, deoarece portofelul blochează versiunile de cod, utilizează verificări manuale și automate și lansează actualizări în etape. De asemenea, utilizează "LavaMoat", care blochează codul malițios chiar dacă este inserat, și "Blockaid", care semnalează rapid adresele de portofel compromise, pentru a menține astfel de atacuri la distanță.
Între timp, CTO-ul Ledger, Charles Guillemet, a avertizat că codul malițios a fost introdus în pachete cu peste un miliard de descărcări și a fost conceput pentru a înlocui în tăcere adresele de portofel din tranzacții.
Atacul urmează un alt caz semnalat săptămâna trecută de ReversingLabs, în care pachetele npm au folosit contracte inteligente Ethereum pentru a ascunde legături malware – o tehnică care a deghizat traficul de comandă și control drept apeluri blockchain obișnuite.