Attacco informatico su larga scala
Un attacco informatico su larga scala, che ha preso di mira il codice JavaScript con malware e ha sollevato allarmi all’inizio di questa settimana, è riuscito a rubare solo $1.043 in criptovaluta, secondo i dati di Arkham Intelligence.
Analisi dell’attacco
I ricercatori di cybersecurity di Wiz hanno pubblicato un’analisi di questo attacco alla catena di approvvigionamento “diffuso” ieri, scrivendo in un post sul blog che attori malintenzionati hanno utilizzato l’ingegneria sociale per ottenere il controllo di un account GitHub appartenente a Qix (Josh Junon), uno sviluppatore di pacchetti di codice popolari per JavaScript.
Gli hacker hanno pubblicato aggiornamenti per alcuni di questi pacchetti, aggiungendo codice malevolo che attivava API e interfacce di portafogli crypto, oltre a scansionare le transazioni di criptovaluta per riscrivere indirizzi dei destinatari e altri dati delle transazioni.
Impatto e diffusione del malware
Allarmante, i ricercatori di Wiz concludono che il 10% degli ambienti cloud contiene qualche istanza del codice malevolo e che il 99% di tutti gli ambienti cloud utilizza alcuni dei pacchetti presi di mira dagli hacker responsabili, sebbene non tutti questi ambienti abbiano scaricato gli aggiornamenti infetti.
Nonostante la potenziale scala dell’exploit, i dati più recenti di Arkham suggeriscono che i portafogli dell’attore della minaccia hanno finora ricevuto la somma relativamente modesta di $1.043. Questa cifra è cresciuta molto lentamente negli ultimi giorni, comprendendo trasferimenti principalmente di token ERC-20, con transazioni individuali del valore compreso tra $1,29 e $436.
Espansione dell’exploit
Lo stesso exploit si è anche espanso oltre i pacchetti npm di Qix, con un aggiornamento di ieri da JFrog Security che rivelava che il sistema di gestione del database DuckDB SQL è stato compromesso. Questo aggiornamento ha anche suggerito che l’exploit “sembra essere il più grande compromesso npm nella storia“, evidenziando la scala e l’ambito allarmanti dell’attacco.
Riflessioni sui rischi della catena di approvvigionamento
Tali attacchi alla catena di approvvigionamento software stanno diventando sempre più comuni, hanno dichiarato i ricercatori di Wiz Research a Decrypt.
“Gli attaccanti hanno realizzato che compromettere un singolo pacchetto o dipendenza può dare loro accesso a migliaia di ambienti contemporaneamente”
, hanno affermato.
“Ecco perché abbiamo visto un aumento costante di questi incidenti, dal typosquatting alle assunzioni di pacchetti malevoli.”
Infatti, negli ultimi mesi si sono verificati numerosi incidenti simili, inclusa l’inserzione di richieste di pull malevole nell’estensione ETHcode di Ethereum a luglio, che ha ottenuto oltre 6.000 download.
“L’ecosistema npm in particolare è stato un obiettivo frequente a causa della sua popolarità e del modo in cui gli sviluppatori si affidano a dipendenze transitive”
, ha affermato Wiz Research, i cui membri includono gli autori del blog di Wiz sull’hack di Qix, Hila Ramati, Gal Benmocha e Danielle Aminov.
Necessità di protezione
Secondo Wiz, l’ultimo incidente rafforza la necessità di proteggere la pipeline di sviluppo, con le organizzazioni invitate a mantenere visibilità su tutta la catena di approvvigionamento software, monitorando anche il comportamento anomalo dei pacchetti. Questo sembra essere ciò che molte organizzazioni ed entità stavano facendo nel caso dell’exploit di Qix, che è stato rilevato entro due ore dalla pubblicazione.
La rapida rilevazione è stata uno dei principali motivi per cui i danni finanziari dell’exploit rimangono limitati; tuttavia, i ricercatori di Wiz suggeriscono che ci sono stati altri fattori in gioco.
“Il payload era progettato in modo ristretto per colpire utenti con condizioni specifiche, il che ha probabilmente ridotto la sua portata”
, hanno affermato. Gli sviluppatori sono anche più consapevoli di tali minacce, aggiungono i ricercatori di Wiz, con molti che hanno protezioni in atto per catturare attività sospette prima che si traducano in danni seri.
“È sempre possibile che vedremo rapporti ritardati di impatto, ma basandoci su ciò che sappiamo oggi, la rapida rilevazione e gli sforzi di rimozione sembrano aver limitato il successo dell’attaccante.”
