Malawakang Hacking Exploit sa JavaScript
Isang malawakang hacking exploit na tumutok sa JavaScript code gamit ang malware na nagdulot ng alarma noong nakaraang linggo ay nakapag-nakaw lamang ng $1,043 sa cryptocurrency, ayon sa datos mula sa Arkham Intelligence.
Pagsusuri ng Cybersecurity
Ang mga mananaliksik sa cybersecurity mula sa Wiz ay naglathala ng pagsusuri sa isang “malawakang” supply chain attack. Ayon sa kanilang blog post, ginamit ng mga masamang aktor ang social engineering upang makuha ang kontrol sa isang GitHub account na pag-aari ni Qix (Josh Junon), isang developer ng mga tanyag na code packages para sa JavaScript.
Mga Nakakahamak na Update
Ang mga hacker ay naglathala ng mga update para sa ilan sa mga package na ito, na nagdagdag ng nakakahamak na code na nag-activate ng APIs at crypto-wallet interfaces, pati na rin ang pag-scan para sa mga cryptocurrency transactions upang muling isulat ang mga address ng tumanggap at iba pang datos ng transaksyon.
Pagkalat ng Exploit
Nakababahala, ang mga mananaliksik ng Wiz ay nagtatapos na 10% ng mga cloud environments ay naglalaman ng ilang halimbawa ng nakakahamak na code, at 99% ng lahat ng cloud environments ay gumagamit ng ilan sa mga package na tinarget ng mga hacker—ngunit hindi lahat ng mga cloud environments na ito ay nag-download ng mga nahawaang update.
Pinansyal na Pinsala
Sa kabila ng potensyal na sukat ng exploit, ang pinakabagong datos mula sa Arkham ay nagpapahiwatig na ang mga wallet ng banta ay nakatanggap hanggang ngayon ng medyo katamtamang halaga na $1,043. Ito ay unti-unting lumago sa nakaraang ilang araw, na kinabibilangan ng mga transfer na karamihan ay ERC-20 tokens, na may mga indibidwal na transaksyon na nagkakahalaga mula $1.29 hanggang $436.
Pagpapalawak ng Exploit
Ang parehong exploit ay lumawak din lampas sa npm packages ni Qix, na may isang update kahapon mula sa JFrog Security na nagbunyag na ang DuckDB SQL database management system ay na-compromise. Ang update na ito ay nagmungkahi rin na ang exploit “ay tila ang pinakamalaking npm compromise sa kasaysayan,” na binibigyang-diin ang nakababahalang sukat at saklaw ng atake.
Pagtaas ng Supply Chain Attacks
“Napagtanto ng mga attacker na ang pag-compromise ng isang solong package o dependency ay maaaring magbigay sa kanila ng access sa libu-libong environments nang sabay-sabay,” sabi ng mga mananaliksik ng Wiz Research sa Decrypt.
Sa katunayan, ang nakaraang ilang buwan ay nakasaksi ng maraming katulad na insidente, kabilang ang pagpasok ng nakakahamak na pull requests sa Ethereum’s ETHcode extension noong Hulyo, na nakakuha ng higit sa 6,000 downloads.
Pangangailangan ng Proteksyon
Ayon sa Wiz, ang pinakabagong insidente ay nagpapatibay sa pangangailangan na protektahan ang development pipeline, kung saan hinihimok ang mga organisasyon na panatilihin ang visibility sa buong software supply chain, habang nagmo-monitor din para sa anomalous package behavior.
Mabilis na Pagtukoy
Mukhang ito ang ginagawa ng maraming organisasyon at entidad sa kaso ng Qix exploit, na natukoy sa loob ng dalawang oras mula sa pag-publish. Ang mabilis na pagtukoy ay isa sa mga pangunahing dahilan kung bakit ang pinansyal na pinsala ng exploit ay nananatiling limitado.
Mga Salik na Nakakaapekto
Ngunit ang Wiz Research ay nagmumungkahi na may iba pang mga salik na nakakaapekto.
“Ang payload ay mahigpit na dinisenyo upang targetin ang mga gumagamit na may tiyak na kondisyon, na malamang na nagbawas ng saklaw nito,” sabi nila.
Ang mga developer ay mas may kamalayan din sa mga ganitong uri ng banta, idinagdag ng mga mananaliksik ng Wiz, na marami sa kanila ay may mga proteksyon sa lugar upang mahuli ang kahina-hinalang aktibidad bago ito magresulta sa seryosong pinsala.
Konklusyon
“Laging posible na makakita tayo ng mga naantalang ulat ng epekto, ngunit batay sa alam natin ngayon,” sabi nila, “ang mabilis na pagtukoy at mga pagsisikap sa pag-alis ay tila naglimita sa tagumpay ng attacker.”
