Supply Chain Hack sa JavaScript Libraries
Ayon sa mga mananaliksik sa seguridad ng industriya, nakapag-nakaw lamang ang mga hacker ng $50 na halaga ng cryptocurrency mula sa isang malaking supply chain hack na nakaapekto sa mga JavaScript software libraries. Ibinahagi ng crypto intelligence platform na Security Alliance ang mga natuklasan noong Lunes matapos makapasok ang mga hacker sa account ng node package manager (NPM) ng isang kilalang software developer at nagdagdag ng malware sa mga sikat na JavaScript libraries na na-download na higit sa 1 bilyong beses, na naglagay sa panganib ng hindi mabilang na mga proyekto sa crypto.
Target ng Pag-atake
Partikular na tinarget ang mga Ethereum at Solana wallets, ayon sa Security Alliance. Sa kabutihang palad, mas mababa sa $50 ang nagnakaw mula sa crypto space sa ngayon, sinabi ng kumpanya ng seguridad, na tinukoy ang Ethereum wallet address na “0xFc4a48” bilang sa tingin nila ay ang tanging mapanlinlang na address sa ngayon.
“Isipin mo ito: nakompromiso mo ang account ng isang NPM developer na ang mga package ay na-download ng higit sa 2 bilyong beses bawat linggo. Maaari kang magkaroon ng walang limitasyong access sa milyun-milyong workstation ng developer. Naghihintay sa iyo ang hindi mabilang na kayamanan. Ang mundo ay iyong talaba. Kumita ka ng mas mababa sa 50 USD.”
Pagtaas ng Halaga ng Nagnakaw
Gayunpaman, ang $50 na halaga ay tumaas mula sa limang sentimo ilang oras na ang nakalipas, na nagpapahiwatig na ang potensyal na pinsala ay maaaring patuloy na umuusbong. Ang limang sentimong nagnakaw ay nasa Ether habang ang isa pang $20 na halaga ng isang memecoin ay naapektuhan, ayon sa Security Alliance.
Mga Target na Package at Malware
Ipinapakita ng data ng Etherscan na ang mapanlinlang na address ay nakatanggap ng Brett, Andy (ANDY), Dork Lord (DORK), Ethervista (VISTA), at Gondola (GONDOLA) na mga memecoin sa ngayon. Ang paglabag ay nag-target sa mga package tulad ng chalk, strip-ansi, at color-convert — maliliit na utilities na nakabaon sa mga dependency trees sa hindi mabilang na mga proyekto. Kahit ang mga developer na hindi kailanman nag-install ng mga ito nang direkta ay maaaring ma-expose.
Pag-iingat sa mga Transaksyon
Ang NPM ay parang app store para sa mga developer — isang sentral na aklatan kung saan sila ay nagbabahagi at nagda-download ng maliliit na code packages upang bumuo ng mga proyekto sa JavaScript. Ang mga umaatake ay tila nagtanim ng isang crypto-clipper, isang uri ng malware na tahimik na pinapalitan ang mga wallet address sa panahon ng mga transaksyon upang ilihis ang mga pondo. Si Ledger chief technology officer Charles Guillemet ay kabilang sa marami na nag-udyok sa mga gumagamit ng crypto na mag-ingat kapag nagkukumpirma ng on-chain transactions. Ito ay isang umuunlad na kwento, at karagdagang impormasyon ay idaragdag habang ito ay nagiging available.
