Атака на цепочку поставок JavaScript
Атака на цепочку поставок JavaScript скомпрометировала сотни программных пакетов, включая как минимум 10, которые широко используются в экосистеме криптовалют. Об этом сообщается в новых исследованиях кибербезопасности от компании Aikido Security.
Обнаружение вредоносного ПО
В посте в понедельник Чарли Эриксен, исследователь Aikido Security, поделился названиями более 400 пакетов, которые показывают признаки заражения саморазмножающимся вредоносным ПО «Shai Hulud», используемым в текущей атаке на цепочку поставок библиотек JavaScript NPM. Эриксен подтвердил каждое обнаружение, чтобы избежать ложных срабатываний.
Многие из затронутых пакетов, связанных с криптовалютой, получают десятки тысяч загрузок в неделю и имеют множество других пакетов, которые требуют их для функционирования. В посте в X, опубликованном ранее сегодня, Эриксен также предупредил команду Ethereum Name Service (ENS), что несколько их пакетов были затронуты.
Широкая тенденция атак
Shai Hulud является частью более широкой тенденции атак на цепочку поставок. В начале сентября крупнейшая атака NPM, о которой сообщалось на сегодняшний день, привела к краже 50 миллионов долларов в криптовалюте. Amazon Web Services отметила, что эта первая атака была последована распространением червя Shai-Hulud, который начал распространяться автономно всего через неделю.
В то время как предыдущая атака напрямую нацеливалась на криптовалюту для кражи активов, Shai-Hulud является вредоносным ПО общего назначения для кражи учетных данных, которое распространяется автономно по инфраструктуре разработчиков. Если зараженная среда содержит ключи кошельков, вредоносное ПО украдет их как «секреты», наряду с любыми другими учетными данными.
Затронутые крипто-пакеты
Среди всех затронутых пакетов как минимум 10 были специально связаны с индустрией криптовалют, и почти все они были связаны с ENS, службой имен адресов, читаемых человеком. Среди затронутых пакетов — content-hash ENS с почти 36,000 загрузок в неделю и 91 программный пакет, зависящий от него, а также address-encoder с более чем 37,500 загрузок в неделю.
Другие затронутые пакеты ENS включают ensjs (более 30,000 загрузок в неделю), ens-validation (1,750 загрузок в неделю), ethereum-ens (12,650 загрузок в неделю) и ens-contracts (почти 3,100 загрузок в неделю). Также был скомпрометирован пакет, связанный с криптовалютой, не относящийся к ENS, под названием crypto-addr-codec, с почти 35,000 загрузок.
Популярные не-крипто пакеты
Не связанные с криптовалютой пакеты, затронутые атакой, включают некоторые, предлагаемые корпоративной платформой автоматизации Zapier, включая один с более чем 40,000 загрузок в неделю и многие, которые не сильно отстают.
В последующем посте Эриксен указал на другие зараженные пакеты, некоторые из которых имеют почти 70,000 загрузок в неделю, и на другой пакет, который имеет более 1.5 миллиона загрузок в неделю.
«Масштаб этой новой атаки Shai Hulud, откровенно говоря, огромен; мы все еще работаем над очередью, чтобы подтвердить все это,» — написал Эриксен в X. «Это сделает предыдущую атаку ничем.»
Рекомендации по безопасности
Исследователи из компании кибербезопасности Wiz утверждают, что «обнаружили более 25,000 затронутых репозиториев среди ~350 уникальных пользователей, 1,000 новых репозиториев добавляется постоянно каждые 30 минут в последние несколько часов.» Компания рекомендует «немедленное расследование и устранение» для любой среды, использующей npm.
