JavaScript供应链攻击概述
一项重大的JavaScript供应链攻击已导致数百个软件包受到影响,其中至少有10个在加密生态系统中被广泛使用。根据网络安全公司Aikido Security的最新研究,研究员Charlie Eriksen在周一的帖子中分享了超过400个显示出感染迹象的软件包名称,这些软件包感染了名为“Shai Hulud”的自我复制恶意软件,该恶意软件在进行中的JavaScript NPM库供应链攻击中被使用。
攻击细节
Eriksen表示,他验证了每个检测结果,以避免误报。许多受影响的加密货币相关软件包每周下载量达到数万,并且有许多其他软件包依赖于它们的功能。今天早些时候,Eriksen在一条X帖子中警告以太坊名称服务(ENS)团队,他们的多个软件包受到影响。
“Shai Hulud是更广泛的供应链攻击趋势的一部分。”
9月初,迄今为止最大的NPM攻击报告显示,黑客盗取了5000万美元的加密资产。亚马逊网络服务(AWS)指出,这次首次攻击之后,仅一周,Shai Hulud蠕虫便开始自主传播。虽然之前的攻击直接针对加密资产进行盗窃,但Shai Hulud是一种通用的凭证窃取恶意软件,能够在开发者基础设施中自主传播。如果感染的环境中包含钱包密钥,该恶意软件将像其他凭证一样将其作为“秘密”窃取。
受影响的软件包
在所有受影响的软件包中,至少有10个与加密货币行业直接相关,几乎所有这些软件包都与ENS(人类可读地址名称服务)相关。受影响的软件包包括ENS的内容哈希,每周下载量接近36,000次,并且有91个软件包依赖于它,以及地址编码器,每周下载量超过37,500次。
其他受影响的ENS软件包包括:
- ensjs(每周下载量超过30,000次)
- ens-validation(每周下载量1,750次)
- ethereum-ens(每周下载量12,650次)
- ens-contracts(每周下载量接近3,100次)
还有一个与ENS无关的加密货币相关软件包crypto-addr-codec也遭到攻击,每周下载量接近35,000次。受影响的流行非加密软件包包括一些由企业自动化平台Zapier提供的包,其中一个每周下载量超过40,000次,许多其他包的下载量也不远。
后续影响与建议
Eriksen在后续帖子中指出了其他受感染的软件包,其中一些每周下载量接近70,000次,还有一个软件包的每周下载量超过150万次。“这次新的Shai Hulud攻击的范围实在是巨大;我们仍在处理队列以确认所有内容,”Eriksen在X上写道。“这将使之前的攻击看起来微不足道。”
网络安全公司Wiz的研究人员声称,他们“发现了超过25,000个受影响的代码库,涉及约350个独特用户,过去几个小时内每30分钟就有1,000个新代码库不断增加。”
该公司建议对任何使用npm的环境进行“立即调查和修复”。
