Недавняя хакерская атака на JavaScript
Недавняя хакерская атака, нацеленная на код JavaScript с использованием вредоносного ПО, вызвала тревогу на этой неделе. Однако, согласно данным Arkham Intelligence, злоумышленники смогли украсть всего $1,043 в криптовалюте.
Анализ атаки
Исследователи в области кибербезопасности из Wiz опубликовали анализ этой «широкомасштабной» атаки на цепочку поставок, отметив, что хакеры использовали социальную инженерию для получения контроля над аккаунтом GitHub, принадлежащим Qix (Josh Junon), разработчику популярных JavaScript-пакетов.
Злоумышленники опубликовали обновления для некоторых из этих пакетов, добавив вредоносный код, который активировал API и интерфейсы криптокошельков, а также сканировал транзакции криптовалюты с целью переписывания адресов получателей и других данных транзакций.
Тревожно, что исследователи Wiz пришли к выводу, что 10% облачных сред содержат экземпляры вредоносного кода, и 99% всех облачных сред используют некоторые из пакетов, на которые нацелились хакеры.
Сумма украденного и масштабы атаки
Несмотря на потенциальный масштаб эксплуатации, последние данные от Arkham показывают, что кошельки злоумышленников на данный момент получили относительно скромную сумму в $1,043. Эта сумма постепенно увеличивалась за последние несколько дней, включая переводы в основном ERC-20 токенов, с отдельными транзакциями стоимостью от $1.29 до $436.
Также стоит отметить, что атака расширилась за пределы npm-пакетов Qix: обновление от JFrog Security сообщило о компрометации системы управления базами данных DuckDB SQL. Это обновление также предположило, что данная эксплуатация «кажется крупнейшей компрометацией npm в истории», подчеркивая тревожный масштаб и охват атаки.
Рост атак на цепочку поставок
Атаки на цепочку поставок программного обеспечения становятся все более распространенными, как сообщают исследователи Wiz в своем исследовании для Decrypt.
«Злоумышленники поняли, что компрометация одного пакета или зависимости может дать им доступ к тысячам сред одновременно», — отметили они.
«Вот почему мы наблюдаем постоянный рост этих инцидентов, от typosquatting до захвата вредоносных пакетов.» За последние несколько месяцев произошло множество подобных инцидентов, включая вставку вредоносных pull-запросов в расширение ETHcode Ethereum в июле, которое получило более 6,000 загрузок.
Необходимость защиты
«Экосистема npm в частности была частой целью из-за своей популярности и того, как разработчики полагаются на транзитивные зависимости», — добавили в Wiz Research, члены которой включают авторов блога Wiz о хаке Qix, Hila Ramati, Gal Benmocha и Danielle Aminov.
Согласно Wiz, последний инцидент подчеркивает необходимость защиты процесса разработки, при этом организациям рекомендуется поддерживать видимость по всей цепочке поставок программного обеспечения и следить за аномальным поведением пакетов.
Это, похоже, то, что многие организации сделали в случае эксплуатации Qix, которая была обнаружена в течение двух часов после публикации.
Быстрое обнаружение стало одной из основных причин, почему финансовый ущерб от эксплуатации остается ограниченным. Однако Wiz Research предполагает, что были и другие факторы.
«Нагрузка была узко нацелена на пользователей с определенными условиями, что, вероятно, уменьшило ее охват», — отметили они.
Исследователи Wiz также добавили, что разработчики стали более осведомлены о таких угрозах, и многие из них имеют защитные меры, чтобы поймать подозрительную активность до того, как она приведет к серьезному ущербу.
«Всегда возможно, что мы увидим задержанные отчеты о последствиях, но исходя из того, что мы знаем сегодня», — заключили они, «быстрое обнаружение и усилия по устранению, похоже, ограничили успех злоумышленника.»
