Malaking JavaScript Supply-Chain Attack
Isang malaking JavaScript supply-chain attack ang nakompromiso ng daan-daang software packages, kabilang ang hindi bababa sa 10 na malawakang ginagamit sa crypto ecosystem, ayon sa bagong pananaliksik mula sa cybersecurity firm na Aikido Security. Sa isang post noong Lunes, ibinahagi ni Charlie Eriksen, isang mananaliksik sa Aikido Security, ang mga pangalan ng higit sa 400 packages na nagpapakita ng mga palatandaan ng impeksyon mula sa “Shai Hulud” self-replicating malware na ginamit sa isang patuloy na JavaScript NPM library supply chain attack.
Mga Detalye ng Attack
Sinabi ni Eriksen na kanyang pinatunayan ang bawat detection upang maiwasan ang mga maling positibo. Marami sa mga cryptocurrency-related packages na kasangkot ay tumatanggap ng tens of thousands ng downloads bawat linggo at may maraming iba pang packages na kinakailangan upang gumana. Sa isang post sa X na inilathala kaninang umaga, nagbigay-babala si Eriksen sa Ethereum Name Service (ENS) team na ang ilan sa kanilang mga packages ay apektado.
“Ang saklaw ng bagong Shai Hulud attack na ito ay talagang napakalaki; patuloy pa rin kaming nagtatrabaho upang kumpirmahin ang lahat.”
Mga Apektadong Packages
Ang Shai Hulud ay bahagi ng mas malawak na trend ng supply chain attack. Noong unang bahagi ng Setyembre, ang pinakamalaking NPM attack na naiulat sa ngayon ay nakita ang mga hacker na nakakuha ng $50 milyon ng crypto. Napansin ng Amazon Web Services na ang unang attack na ito ay sinundan ng Shai-Hulud worm na kumalat nang autonomously isang linggo lamang ang lumipas.
Habang ang nakaraang attack ay direktang nag-target sa crypto upang magnakaw ng mga asset, ang Shai Hulud ay isang general-purpose credential-stealing malware na kumakalat nang autonomously sa developer infrastructure. Kung ang infected na kapaligiran ay naglalaman ng wallet keys, ang malware ay magnanakaw ng mga ito bilang “secrets” tulad ng anumang iba pang credential.
Mga Apektadong Crypto Packages
Kabilang sa lahat ng apektadong packages, hindi bababa sa 10 ang partikular na nauugnay sa industriya ng cryptocurrency, at halos lahat ay konektado sa ENS, isang human-readable address name service. Kabilang sa mga apektadong packages ang:
- content-hash ng ENS, na may halos 36,000 weekly downloads
- address-encoder, na may higit sa 37,500 weekly downloads
- ensjs (mahigit 30,000 weekly downloads)
- ens-validation (1,750 weekly downloads)
- ethereum-ens (12,650 weekly downloads)
- ens-contracts (halos 3,100 weekly downloads)
- crypto-addr-codec, na may halos 35,000 downloads
Mga Apektadong Non-Crypto Packages
Ang mga non-crypto-related packages na apektado ay kinabibilangan ng ilan na inaalok ng corporate automation platform na Zapier, kabilang ang isa na may higit sa 40,000 downloads bawat linggo at marami pang hindi nalalayo. Sa isang kasunod na post, itinuro ni Eriksen ang iba pang packages na nahawaan, ilan sa mga ito ay may halos 70,000 weekly downloads, at sa isa pang package na nakakita ng higit sa 1.5 milyong weekly downloads.
Rekomendasyon
Inirerekomenda ng kumpanya ang “agarang pagsisiyasat at remedasyon” para sa anumang kapaligiran na gumagamit ng npm. Ang mga mananaliksik sa cybersecurity firm na Wiz ay nag-claim na nakakita ng “mahigit 25,000 apektadong repositories” sa ~350 natatanging gumagamit, 1,000 bagong repositories ang patuloy na idinadagdag bawat 30 minuto sa nakaraang ilang oras.
