Autor zprávy: Crypto Emergency
Materiál má informativní charakter a není doporučením pro bezpečnost. Vývojáři by měli naléhavě zkontrolovat své závislosti.
Co se stalo?
Hackeři napadli registr balíčků NPM — největší platformu pro šíření JavaScriptových knihoven — a vložili škodlivý kód do 18 populárních balíčků. Cíl útoku: krádež kryptoměn prostřednictvím podvržení adres peněženek a zachycení transakcí v prohlížeči.
Podle údajů Aikido Security útok začal phishingovým e-mailem zaslaným jednomu z hlavních udržovatelů pod přezdívkou qix. Útočníci získali přístup k jeho účtu a začali publikovat infikované verze knihoven. Když se vývojář pokusil odstranit škodlivé balíčky, ztratil přístup k účtu.
Jak funguje škodlivý kód?
Malware se nedotýká serverů ani vývojových prostředí. Aktivuje se na straně klienta – v prohlížeči – a:
- Zachycuje Web3-aktivity
- Nahrazuje adresy kryptoměnových peněženek
- Přepisuje cíle transakcí
- Zobrazuje správné rozhraní, ale přesměrovává prostředky na adresy hackerů
Jaké balíčky byly infikovány?
Mezi kompromitovanými jsou knihovny, které se používají prakticky v každém druhém JavaScriptovém projektu/
Celkový objem stažení těchto balíčků – více než 2 miliardy týdně2.
Jak byla útok odhalena?
Systém monitorování Aikido zaznamenal podezřelé aktualizace dlouho neaktivních balíčků. Například knihovna is-arrayish, která nebyla aktualizována více než 5 let, náhle dostala novou verzi s obfuskovaným škodlivým kódem.
Doporučení pro vývojáře
Okamžitě zkontrolovat závislosti a vrátit se k bezpečným verzím
Používat nástroje pro sledování dodavatelského řetězce
Vyhnout se automatickým aktualizacím bez kontroly
Pečlivě sledovat transakce, pokud aplikace pracuje s kryptoměnami
Paralelní útoky
Současně s incidentem na NPM analytici PeckShield oznámili o hacku decentralizované platformy Nemo Protocol na blockchainu Sui. Ztráty činily 2,4 milionu dolarů.