Хакеры скомпрометировали широко используемые JavaScript-библиотеки, что назвали крупнейшей атакой на цепочку поставок в истории. Внедрённое вредоносное ПО, по сообщениям, предназначено для кражи криптовалюты путём подмены адресов кошельков и перехвата транзакций.
По нескольким сообщениям в понедельник, хакеры взломали учётную запись node package manager (NPM) известного разработчика и тайно добавили вредоносное ПО в популярные JavaScript-библиотеки, которые используются миллионами приложений.
Вредоносный код подменяет или перехватывает адреса криптокошельков, потенциально подвергая риску множество проектов.
«Происходит масштабная атака на цепочку поставок: скомпрометирована учётная запись NPM уважаемого разработчика», — предупредил в понедельник технический директор Ledger Чарльз Гильме здесь. «Затронутые пакеты уже были скачаны более миллиарда раз, что означает, что вся JavaScript-экосистема может быть под угрозой».
Атака затронула такие пакеты, как chalk, strip-ansi и color-convert — небольшие утилиты, скрытые глубоко в деревьях зависимостей бесчисленных проектов. Вместе эти библиотеки скачиваются более миллиарда раз в неделю, а это значит, что даже разработчики, которые никогда не устанавливали их напрямую, могут быть уязвимы.
NPM — это своего рода магазин приложений для разработчиков — централизованная библиотека, где они делятся и скачивают небольшие пакеты кода для создания JavaScript-проектов.
Злоумышленники, похоже, внедрили crypto-clipper — тип вредоносного ПО, которое тихо заменяет адреса кошельков во время транзакций для перенаправления средств.
Эксперты по безопасности предупредили, что пользователи, полагающиеся на программные кошельки, могут быть особенно уязвимы, в то время как те, кто подтверждает каждую транзакцию на аппаратном кошельке, защищены.
Пользователям рекомендуется избегать криптотранзакций
Согласно сообщению в X от основателя DefiLlama Oxngmi, вредоносный код автоматически не опустошает кошельки — пользователям всё равно придётся подтвердить вредоносную транзакцию.
Поскольку взломанный JavaScript-пакет может изменять то, что происходит при нажатии кнопки, нажатие кнопки «swap» на скомпрометированном сайте может привести к подмене деталей транзакции и отправке средств злоумышленнику.
Он добавил, что под угрозой находятся только те проекты, которые были обновлены после публикации скомпрометированного пакета, и многие разработчики «фиксируют» свои зависимости, чтобы продолжать использовать более старые, безопасные версии.
Тем не менее, поскольку пользователям трудно определить, какие сайты были обновлены безопасно, лучше избегать использования криптосайтов до тех пор, пока затронутые пакеты не будут очищены.
Фишинговые электронные письма дали злоумышленникам доступ к учётным записям сопровождающих NPM
Злоумышленники отправляли электронные письма, выдавая себя за официальную поддержку NPM, предупреждая сопровождающих о том, что их учётные записи будут заблокированы, если они не «обновят» двухфакторную аутентификацию к 10 сентября.
Поддельный сайт захватил учётные данные для входа, предоставив злоумышленникам контроль над учётной записью сопровождающего. Оказавшись внутри, злоумышленники внедрили вредоносные обновления в пакеты с миллиардами еженедельных загрузок.
Чарли Эриксен, исследователь Aikido Security, сообщил BleepingComputer, что атака особенно опасна, поскольку она действует «на нескольких уровнях: изменяет контент, отображаемый на веб-сайтах, вмешивается в API-вызовы и манипулирует тем, что приложения пользователей считают подписанным».
