Malawakang Supply Chain Attack sa JavaScript Libraries
Nakompronta ng mga hacker ang malawakang ginagamit na JavaScript software libraries sa tinatawag na pinakamalaking supply chain attack sa kasaysayan. Ang na-inject na malware ay iniulat na dinisenyo upang magnakaw ng cryptocurrency sa pamamagitan ng pagpapalit ng mga wallet address at pag-intercept ng mga transaksyon.
Ayon sa ilang ulat noong Lunes, pumasok ang mga hacker sa Node Package Manager (NPM) account ng isang kilalang developer at lihim na nagdagdag ng malware sa mga sikat na JavaScript libraries na ginagamit ng milyun-milyong apps. Ang nakakapinsalang code ay nagpapalit o kumukuha ng mga crypto wallet address, na naglalagay sa bilyong halaga ng mga proyekto sa panganib.
“Mayroong malawakang supply chain attack na nagaganap: ang NPM account ng isang kagalang-galang na developer ay nakompromiso,” binalaan ni Ledger Chief Technology Officer Charles Guillemet noong Lunes. “Ang mga apektadong package ay na-download na ng higit sa 1 bilyong beses, na nangangahulugang ang buong JavaScript ecosystem ay maaaring nasa panganib.”
Ang paglabag ay nakatuon sa mga package tulad ng [package1], [package2], at [package3] — maliliit na utilities na nakabaon sa mga dependency trees ng hindi mabilang na mga proyekto. Sama-sama, ang mga libraries na ito ay na-download ng higit sa isang bilyong beses bawat linggo, na nangangahulugang kahit ang mga developer na hindi kailanman nag-install ng mga ito nang direkta ay maaaring ma-expose.
Impormasyon Tungkol sa NPM at Malware
Ang NPM ay parang app store para sa mga developer — isang sentral na library kung saan sila nagbabahagi at nagda-download ng maliliit na code packages upang bumuo ng mga JavaScript projects. Mukhang naglagay ang mga attacker ng isang crypto-clipper, isang uri ng malware na tahimik na nagpapalit ng mga wallet address sa panahon ng mga transaksyon upang ilihis ang mga pondo.
Nagbabala ang mga security researchers na ang mga gumagamit na umaasa sa software wallets ay maaaring maging lalo pang bulnerable, habang ang mga nagkukumpirma ng bawat transaksyon sa isang hardware wallet ay protektado. Mananatiling hindi malinaw kung ang malware ay sinusubukang magnakaw ng mga seed phrases nang direkta. Ito ay isang umuunlad na kwento, at karagdagang impormasyon ay idaragdag habang ito ay nagiging available.
