黑客攻击事件概述
本周早些时候,一起针对JavaScript代码的大规模黑客攻击事件引发了广泛关注。然而,根据Arkham Intelligence的数据,该事件仅从用户那里窃取了1,043美元的加密货币。
攻击手法与影响
网络安全研究公司Wiz在其博客中发布了对这一“广泛”供应链攻击的分析,指出攻击者通过社交工程手段控制了流行代码包开发者Qix(Josh Junon)的GitHub账户。黑客发布了这些代码包的更新,添加了恶意代码,激活了API和加密钱包接口,并扫描加密货币交易,以便重写收款地址和其他交易数据。
“攻击者意识到,攻陷一个单一的包或依赖项可以让他们同时进入成千上万的环境。”
令人担忧的是,Wiz的研究人员得出结论,10%的云环境中存在某种形式的恶意代码,而99%的云环境使用了黑客所针对的某些代码包,但并非所有这些云环境都下载了受感染的更新。
攻击的财务影响
尽管该攻击的潜在规模巨大,但Arkham的最新数据显示,威胁行为者的钱包迄今为止仅收到相对较小的1,043美元。这一金额在过去几天中缓慢增长,主要涉及ERC-20代币的转账,单笔交易金额在1.29美元到436美元之间。
攻击的扩展与警示
该攻击还扩展到了Qix的npm包之外,JFrog Security在昨天的更新中透露,DuckDB SQL数据库管理系统也遭到入侵。该更新还指出,此次攻击“似乎是历史上最大的npm安全事件”,突显了此次攻击的惊人规模和范围。
软件供应链攻击的普遍性
Wiz Research的研究人员告诉Decrypt,软件供应链攻击正变得越来越普遍。他们表示:“我们总是可能会看到影响的延迟报告,但根据我们目前所知,快速检测和清除工作似乎限制了攻击者的成功。”
实际上,过去几个月发生了许多类似事件,包括在7月向以太坊的ETHcode扩展中插入恶意拉取请求,导致超过6,000次下载。Wiz Research表示,npm生态系统尤其频繁成为目标,因为它的受欢迎程度以及开发者对传递依赖的依赖。
保护措施与未来展望
根据Wiz的说法,最新事件强调了保护开发流程的必要性,组织被敦促在整个软件供应链中保持可见性,同时监控异常的包行为。这似乎是许多组织在Qix攻击事件中所做的,他们在发布后两小时内就检测到了该攻击。
快速检测是此次攻击造成的财务损失保持在有限范围内的主要原因之一,但Wiz Research表示,还有其他因素在起作用。他们指出:“该攻击的有效载荷被狭窄地设计为针对具有特定条件的用户,这可能减少了其影响范围。”
Wiz的研究人员补充道,开发者对这些威胁的意识也在提高,许多人已经采取了保护措施,以在可疑活动造成严重损害之前捕捉到它们。
