Недавняя атака через Node Package Manager (NPM) украла всего 50 долларов в криптовалюте, но, по мнению экспертов отрасли, этот инцидент подчеркивает продолжающиеся уязвимости бирж и программных кошельков.
Шарль Гийемет, технический директор компании Ledger, производящей аппаратные кошельки, заявил в публикации в X во вторник, что предпринятая попытка эксплуатации является "явным напоминанием" о том, что программные кошельки и биржи остаются подверженными рискам.
«Если ваши средства хранятся в программном кошельке или на бирже, то вы в шаге от выполнения кода, который приведет к потере всего», — сказал он, добавив, что компрометация цепочки поставок остается мощным вектором распространения вредоносного ПО.
Гийемет воспользовался возможностью, чтобы поддержать использование аппаратных кошельков, отметив, что такие функции, как четкое подписание и проверка транзакций, помогут пользователям противостоять подобным угрозам. «Непосредственная опасность миновала, но угроза остается. Будьте осторожны», — добавил он.
Крупнейшая атака на NPM украла всего 50 долларов в криптовалюте
Атака произошла после того, как злоумышленники получили доступные учетные данные, используя фишинговое письмо, отправленное с поддельного домена поддержки NPM.
Используя свой новоприобретенный доступ к учетным записям разработчиков, злоумышленники внесли вредоносные обновления в популярные библиотеки. Среди них chalk, debug strip-ansi и другие.
Внедренный ими код пытался перехватить транзакции, перехватывая адреса кошельков и заменяя их в сетевых ответах в нескольких блокчейнах, включая Bitcoin, Ethereum, Solana, Tron и Litecoin.
Технический директор TON разбирает атаку на NPM
Анатолий Макосов, технический директор The Open Network (TON), заявил, что были скомпрометированы только определенные версии 18 пакетов и что уже были опубликованы откат к предыдущим версиям.
Разбирая механику атаки, Макосов отметил, что скомпрометированные пакеты функционировали как крипто-клипперы, которые беззвучно подменяли адреса кошельков в продуктах, зависящих от зараженных версий.
Это означает, что веб-приложения, взаимодействующие с вышеупомянутыми блокчейнами, рискуют перехватить и перенаправить свои транзакции, не уведомляя пользователей.
Он отметил, что наиболее уязвимыми были разработчики, которые опубликовали свои сборки в течение нескольких часов после вредоносных обновлений, и приложения, которые автоматически обновляют свои кодовые библиотеки, вместо того чтобы фиксировать их на безопасной версии.
Макосов поделился контрольным списком того, как разработчики могут проверить, были ли скомпрометированы их приложения. Основным признаком является использование одной из 18 версий популярных библиотек, таких как ansi-styles, chalk или debug. Он сказал, что если проект зависит от этих версий, он, вероятно, был скомпрометирован.
Он сказал, что решение состоит в том, чтобы вернуться к безопасным версиям, переустановить чистый код и пересобрать приложения. Он добавил, что новые и обновленные выпуски уже доступны и призвал разработчиков быстро очистить вредоносное ПО, прежде чем оно сможет повлиять на их пользователей.
