Utilizatorii de Cripto Avertizați Să Fie Extrem De Atenți După Atacul NPM Asupra Bibliotecilor Core JavaScript
Breșa a afectat biblioteci de bază JavaScript, cum ar fi chalk și strip-ansi, descărcate de miliarde de ori în fiecare săptămână, ridicând semne de alarmă cu privire la securitatea software-ului open-source.
Hackeri au compromis biblioteci software JavaScript utilizate pe scară largă, într-un atac considerat a fi cel mai mare atac asupra lanțului de aprovizionare din istorie. Malware-ul injectat este, se pare, conceput pentru a fura cripto prin schimbarea adreselor de portofele și interceptarea tranzacțiilor.
Conform mai multor rapoarte de luni, hackerii au spart contul node package manager (NPM) al unui dezvoltator binecunoscut și au adăugat în secret malware la biblioteci JavaScript populare, utilizate de milioane de aplicații. Codul malițios schimbă sau deturnează adresele portofelelor cripto, punând potențial multe proiecte în pericol.
"Este în curs un atac la scară largă asupra lanțului de aprovizionare: contul NPM al unui dezvoltator de încredere a fost compromis", a avertizat luni Charles Guillemet, directorul tehnic al Ledger. "Pachetele afectate au fost deja descărcate de peste 1 miliard de ori, ceea ce înseamnă că întregul ecosistem JavaScript poate fi în pericol."
Breșa a vizat pachete precum chalk, strip-ansi și color-convert - utilitare mici îngropate adânc în arborii de dependențe a nenumăratelor proiecte. Împreună, aceste biblioteci sunt descărcate de peste un miliard de ori în fiecare săptămână, ceea ce înseamnă că chiar și dezvoltatorii care nu le-au instalat niciodată direct ar putea fi expuși.
NPM este ca un magazin de aplicații pentru dezvoltatori - o bibliotecă centrală unde aceștia partajează și descarcă mici pachete de cod pentru a construi proiecte JavaScript. Atacatorii par să fi plantat un crypto-clipper, un tip de malware care înlocuiește în tăcere adresele portofelelor în timpul tranzacțiilor pentru a deturna fonduri.
Cercetătorii în securitate au avertizat că utilizatorii care se bazează pe software wallets pot fi deosebit de vulnerabili, în timp ce cei care confirmă fiecare tranzacție pe un hardware wallet sunt protejați.
Atacatorii au trimis e-mailuri pozând ca suport oficial NPM, avertizând administratorii că conturile lor vor fi blocate dacă nu "actualizează" autentificarea cu doi factori până pe 10 septembrie. Site-ul fals a capturat datele de conectare, oferind hackerilor controlul asupra contului unui administrator.
Odată intrați, atacatorii au lansat actualizări malițioase la pachete cu miliarde de descărcări săptămânale.
Charlie Eriksen, un cercetător de la Aikido Security, a declarat pentru BleepingComputer că atacul a fost deosebit de periculos, deoarece a operat "la mai multe straturi: modificarea conținutului afișat pe site-uri web, manipularea apelurilor API și manipularea a ceea ce aplicațiile utilizatorilor cred că semnează."
Aceasta este o știre în curs de dezvoltare și vor fi adăugate informații suplimentare pe măsură ce devin disponibile.