Upozornění NPM: Napadeny klíčové knihovny JavaScriptu

  • Phishingová kampaň umožnila publikování škodlivých verzí na NPM a kompromitaci základních JavaScriptových knihoven.
  • Malware fungoval jako kryptoměnový nástroj, který nahrazoval adresy během podepisování transakcí.
  • Nízký ekonomický dopad a rychlé zmírnění; několik poskytovatelů a peněženek nebylo ovlivněno.
  • Doporučení: Auditovat závislosti, opravit verze, vynutit 2FA a ověřovat transakce na hardwarových peněženkách.
Creativos Online

5 minut

Ilustrace o JavaScriptu

Technická komunita vyšetřuje útok na dodavatelský řetězec NPM ...který se zaměřil na široce používané knihovny JavaScriptu. Podle několika bezpečnostních týmů útočníci vpašovali malware s funkcí crypto-clipper do široce distribuovaných balíčků, což mohlo upravovat transakce a přesměrovávat kryptoměny.

Přestože je potenciální rozsah obrovský kvůli popularita těchto závislostí v ekosystému JavaScriptuPočáteční analýzy poukazují na omezený ekonomický dopad: údajně byly přesunuty malé částky, do několika stovek dolarů, zatímco dodavatelé a registr jednali s cílem odstranit zmanipulované verze.

Jak k vniknutí došlo

Vniknutí začalo s Phishingové e-maily napodobující oficiální podporu NPM... a požadoval, aby správci balíčků naléhavě aktualizovali své dvoufaktorové ověřování. Falešný web odcizil přihlašovací údaje a kód, což útočníkům umožnilo převzít kontrolu nad účtem s rozsáhlými oprávněními (v komunitě spojovaným s aliasem „Qix“) a... publikovat padělané verze různého využití.

svg malware
Související článek:
Kybernetický útočníci používají soubory SVG k infikování malwarem

Výzkumníci jako Aikido Security a kolektiv JDSTAERK popisují kampaň schopnou upravovat obsah na stránkách, zachycovat volání API a měnit to, co si uživatel myslí, že podepisuje., což zvyšuje riziko pro webové služby, které tyto knihovny integrují prostřednictvím hlubokých řetězců závislostí.

Ekosystém balíčků JavaScriptu

Dotčené balíčky a rozsah

Ovlivněná mezera velmi základní nástroje přítomné v mnoha projektech, takže i počítače, které je nenainstalují přímo, mohly být odhaleny prostřednictvím tranzitivních závislostí. Mezi jména uváděná bezpečnostními firmami a vývojáři patří:

  • křída, křídová šablona, ​​strip-ansi, slice-ansi, wrap-ansi, supports-color
  • převod-barvy, název-barvy, řetězec-barvy
  • ansi-regex, ansi-styly, has-ansi
  • ladění, chybový ex, je-pole, jednoduchý-swizzle
  • supports-hyperlinks, zpětné lomítko, proto-tinker-wc

Tyto softwarové komponenty se hromadí Miliony týdenních stažení a více než miliarda historických záznamů, které slouží jako základní stavební kameny moderních serverů, nástrojů příkazového řádku a webových aplikací.

Zabezpečení v JavaScriptu

Jak funguje malware

Škodlivý kód fungoval jako krypto-klipperDetekcí prostředí se softwarovými peněženkami (např. rozšířeními jako MetaMask) zachytil data transakcí těsně před podpisem a nahrazena cílová adresa jinou kontrolovanou útočníky.

Pokud implantát neidentifikoval aktivní peněženku, pokusil se o pasivní exfiltrace informací na externí servery. V aktivních scénářích peněženky kromě manipulace s voláními API monitorovala schránku a přepisovala adresy zkopírované uživatelem, což je u tohoto typu podvodu klasický trik.

Odborníci upozorňují na to, že ti, kteří ověřit údaje na hardwarové peněžence na obrazovce Mají fyzickou bariéru, která tomuto vektoru brání: konečné potvrzení se provádí na zařízení a zobrazenou adresu nelze změnit prohlížečem ani webem.

Skutečný dopad zatím

Navzdory rozsahu odhalení by peníze, které útočníci přesunuli, byly velmi malé (desítky až několik stovek dolarů), podle různých záznamů řetězce zveřejněných výzkumníky. Několik dodavatelů okamžitě varovalo a registr zakázal kompromitované příspěvky během několika hodin.

Krypto peněženky a servisní týmy, jako například Ledger, Trezor, MetaMask, Phantom nebo Uniswap Uvedli, že se jich změněné verze nedotkly ani že nejsou chráněni vícevrstvou obranou. Doporučují však pečlivě zkontrolovat každou podepsanou transakci a dodržovat osvědčené ověřovací postupy.

Varování pro vývojáře je jasné: pokud projekt aktualizované závislosti během okna commitu, je dobrý nápad auditovat celý strom a znovu ho sestavit s čistými verzemi, i když aplikace přímo nezpracovává kryptoměny.

Co by měli vývojáři a týmy dělat

Kromě okamžité nápravy by organizace měly přijmout kontroly dodavatelského řetězce ke snížení plochy pro útok v prostředích JavaScript a Node.js. Mezi prioritní opatření patří:

  • Připínání verzí a používání lockfiles; zakázání automatických aktualizací v produkčním prostředí.
  • Ověřte podpisy, kontrolní součty a původ; implementujte zásady pro kontrolu před publikací.
  • Povolte 2FA s bezpečnostními klíči FIDO a rotace tokenů a tajných kódů vystavený.
  • Integrujte skenery závislostí a SBOM; monitorujte neočekávané změny v kritických balíčcích.
  • Reprodukujte čisté sestavení a rychle se vraťte zpět při známkách kompromitace.

Pro koncové uživatele probíhá poradenství prostřednictvím zkontrolujte adresu a částku na zařízení Před podepsáním si dejte pozor na neočekávaná vyskakovací okna a pozastavte operace, pokud zjistíte podivné chování na běžných webových stránkách nebo v dApps.

Chronologie a protagonisté

Komunita kampaň odhalila na začátku týdne, kdy se v tomto odvětví objevily například takové osobnosti, jako například Technický ředitel Ledgeru Charles Guillemet, varoval před rizikem proniknutí těchto knihoven téměř do jakéhokoli JavaScriptového stacku. O několik hodin později týmy jako Blockaid a Aikido sdílely seznamy analyzovaných balíčků a artefaktů.

Správce propojený s napadeným účtem na sociálních sítích potvrdil, že se stal obětí podvod s resetem 2FA a omluvil se a zároveň koordinoval s npm odstranění škodlivých příspěvků. Poskytovatel registru uvedl, že spolupracuje s výzkumníky na uzavření nedokončených záležitostí a posílení kontrol.

Ačkoliv vše nasvědčuje omezené ekonomické škodyTato epizoda jasně ukazuje, že bezpečnost ekosystému JavaScriptu závisí na ochraně identit správců, posílení vydaných balíčků a předpokladu, že závislosti jsou kritickým článkem; posílení těchto bodů snižuje pravděpodobnost, že podobný incident znovu otevře dveře útočníkům.