การโจมตีซัพพลายเชน NPM ครั้งใหญ่ทำให้ห้องสมุด ENS และคริปโตสำคัญถูกบุกรุก

4 ชั่วโมง ที่ผ่านมา
อ่าน 7 นาที
3 มุมมอง

การโจมตีซัพพลายเชน JavaScript

การโจมตีซัพพลายเชน JavaScript ครั้งใหญ่ได้ทำให้แพ็คเกจซอฟต์แวร์หลายร้อยรายการถูกบุกรุก รวมถึงอย่างน้อย 10 รายการที่ใช้กันอย่างแพร่หลายในระบบนิเวศคริปโต ตามการวิจัยใหม่จากบริษัทความปลอดภัยไซเบอร์ Aikido Security ที่เผยแพร่เมื่อวันจันทร์

การตรวจสอบและการติดเชื้อ

ชาร์ลี เอริคเซน นักวิจัยจาก Aikido Security ได้แชร์ชื่อแพ็คเกจมากกว่า 400 รายการที่แสดงสัญญาณของการติดเชื้อจากมัลแวร์ “Shai Hulud” ซึ่งสามารถทำสำเนาตัวเองได้ และถูกใช้ในการโจมตีซัพพลายเชนห้องสมุด JavaScript NPM ที่กำลังดำเนินอยู่

“ขอบเขตของการโจมตี Shai Hulud ใหม่นี้ต้องบอกว่ามหาศาล; เรายังทำงานผ่านคิวเพื่อยืนยันทั้งหมด”

เอริคเซนกล่าวว่าเขาได้ตรวจสอบการตรวจจับแต่ละรายการเพื่อหลีกเลี่ยงผลบวกเท็จ แพ็คเกจที่เกี่ยวข้องกับคริปโตหลายรายการมีการดาวน์โหลดหลายหมื่นครั้งต่อสัปดาห์ และมีแพ็คเกจอื่น ๆ จำนวนมากที่ต้องการเพื่อให้ทำงานได้

ผลกระทบต่อแพ็คเกจคริปโต

ในบรรดาแพ็คเกจทั้งหมดที่ได้รับผลกระทบ อย่างน้อย 10 รายการเกี่ยวข้องโดยเฉพาะกับอุตสาหกรรมคริปโต และเกือบทั้งหมดเชื่อมโยงกับ ENS ซึ่งเป็นบริการชื่อที่อยู่ที่อ่านได้โดยมนุษย์

แพ็คเกจที่ได้รับผลกระทบ ได้แก่:

  • content-hash ของ ENS ซึ่งมีการดาวน์โหลดเกือบ 36,000 ครั้งต่อสัปดาห์
  • address-encoder ที่มีการดาวน์โหลดมากกว่า 37,500 ครั้งต่อสัปดาห์
  • แพ็คเกจ ENS อื่น ๆ ที่ได้รับผลกระทบ ได้แก่ ensjs (มากกว่า 30,000 การดาวน์โหลดต่อสัปดาห์), ens-validation (1,750 การดาวน์โหลดต่อสัปดาห์), ethereum-ens (12,650 การดาวน์โหลดต่อสัปดาห์), และ ens-contracts (เกือบ 3,100 การดาวน์โหลดต่อสัปดาห์)

การโจมตีที่กว้างขึ้น

Shai Hulud เป็นส่วนหนึ่งของแนวโน้มการโจมตีซัพพลายเชนที่กว้างขึ้น ในต้นเดือนกันยายน การโจมตี NPM ที่ใหญ่ที่สุดที่รายงานจนถึงปัจจุบันเห็นแฮกเกอร์ขโมยคริปโตไปเพียง 50 ล้านดอลลาร์

Amazon Web Services ระบุว่าการโจมตีครั้งแรกนี้ตามมาด้วยการแพร่กระจายของหนอน Shai-Hulud โดยอัตโนมัติเพียงหนึ่งสัปดาห์ต่อมา

แพ็คเกจที่เกี่ยวข้องกับคริปโตที่ไม่เกี่ยวข้องกับ ENS ชื่อ crypto-addr-codec ก็ถูกบุกรุกเช่นกัน โดยมีการดาวน์โหลดเกือบ 35,000 ครั้ง

คำแนะนำสำหรับนักพัฒนา

บริษัทแนะนำให้มี “การตรวจสอบและแก้ไขทันที” สำหรับสภาพแวดล้อมใด ๆ ที่ใช้ npm

“มันจะทำให้การโจมตีครั้งก่อนดูเหมือนไม่มีอะไร”

นักวิจัยที่บริษัทความปลอดภัยไซเบอร์ Wiz อ้างว่าพวกเขา “พบเห็นที่เก็บข้อมูลที่ได้รับผลกระทบมากกว่า 25,000 แห่งจากผู้ใช้ที่ไม่ซ้ำกันประมาณ 350 ราย โดยมีที่เก็บข้อมูลใหม่ 1,000 แห่งถูกเพิ่มเข้ามาอย่างต่อเนื่องทุก 30 นาทีในช่วงไม่กี่ชั่วโมงที่ผ่านมา”

ป้ายกำกับ

ที่เกี่ยวข้อง

ล่าสุดจาก Blog