Attacco alla Supply Chain JavaScript
Un grave attacco alla supply chain JavaScript ha compromesso centinaia di pacchetti software, inclusi almeno dieci ampiamente utilizzati nell’ecosistema delle criptovalute, secondo una nuova ricerca della società di cybersecurity Aikido Security.
Dettagli dell’Attacco
In un post pubblicato lunedì, Charlie Eriksen, ricercatore di Aikido Security, ha condiviso i nomi di oltre 400 pacchetti che mostrano segni di infezione da parte del malware auto-replicante “Shai Hulud”, utilizzato in un attacco in corso alla supply chain delle librerie NPM JavaScript. Eriksen ha confermato ogni rilevamento per evitare falsi positivi.
Molti dei pacchetti legati alle criptovalute coinvolti ricevono decine di migliaia di download a settimana e sono interconnessi con numerosi altri pacchetti necessari per il loro funzionamento. In un post su X pubblicato oggi, Eriksen ha anche avvertito il team di Ethereum Name Service (ENS) che diversi dei loro pacchetti sono stati compromessi.
Caratteristiche del Malware
Shai Hulud rappresenta una tendenza più ampia degli attacchi alla supply chain. All’inizio di settembre, il più grande attacco NPM segnalato fino ad oggi ha visto gli hacker rubare 50 milioni di dollari in criptovalute. Amazon Web Services ha notato che questo primo attacco è stato seguito dalla diffusione autonoma del worm Shai Hulud solo una settimana dopo.
Mentre il precedente attacco mirava direttamente alle criptovalute per rubare beni, Shai Hulud è un malware di furto di credenziali di uso generale che si diffonde autonomamente attraverso l’infrastruttura degli sviluppatori. Se l’ambiente infetto contiene chiavi di wallet, il malware le ruberà come “segreti”, proprio come qualsiasi altra credenziale.
Pacchetti Compromessi
Tra tutti i pacchetti colpiti, almeno dieci erano specificamente legati all’industria delle criptovalute, e quasi tutti erano collegati all’ENS, un servizio di nomi di indirizzi leggibili dall’uomo. Tra i pacchetti compromessi ci sono:
- content-hash di ENS, con quasi 36.000 download settimanali, e 91 pacchetti software che dipendono da esso.
- address-encoder, con oltre 37.500 download settimanali.
- Altri pacchetti ENS colpiti includono ensjs (oltre 30.000 download settimanali), ens-validation (1.750 download settimanali), ethereum-ens (12.650 download settimanali) e ens-contracts (quasi 3.100 download settimanali).
- Anche un pacchetto legato alle criptovalute non collegato all’ENS, chiamato crypto-addr-codec, è stato compromesso, con quasi 35.000 download.
Pacchetti Non Crypto Colpiti
I pacchetti non legati alle criptovalute colpiti includono alcuni offerti dalla piattaforma di automazione aziendale Zapier, incluso uno con oltre 40.000 download a settimana e molti altri vicini a questo numero. In un post successivo, Eriksen ha indicato altri pacchetti infettati, alcuni con quasi 70.000 download settimanali, e un altro pacchetto che ha visto oltre 1,5 milioni di download settimanali.
“L’entità di questo nuovo attacco Shai Hulud è francamente enorme; stiamo ancora lavorando per confermare tutto. Farà sembrare il precedente attacco insignificante.” – Charlie Eriksen
Raccomandazioni
I ricercatori della società di cybersecurity Wiz affermano di aver “individuato oltre 25.000 repository colpiti tra circa 350 utenti unici, con 1.000 nuovi repository che vengono aggiunti costantemente ogni 30 minuti nelle ultime ore.” L’azienda raccomanda un’indagine e una rimediabilità immediate per qualsiasi ambiente che utilizza npm.
