Cuộc Tấn Công Chuỗi Cung Ứng JavaScript
Một cuộc tấn công chuỗi cung ứng JavaScript quy mô lớn đã làm lộ hàng trăm gói phần mềm, trong đó có ít nhất 10 gói được sử dụng rộng rãi trong hệ sinh thái tiền điện tử, theo nghiên cứu mới từ công ty an ninh mạng Aikido Security. Trong một bài đăng vào thứ Hai, Charlie Eriksen, một nhà nghiên cứu tại Aikido Security, đã công bố tên của hơn 400 gói phần mềm cho thấy dấu hiệu nhiễm phần mềm độc hại tự sao chép mang tên “Shai Hulud”, được sử dụng trong cuộc tấn công chuỗi cung ứng thư viện NPM JavaScript đang diễn ra.
Chi Tiết Về Cuộc Tấn Công
Eriksen cho biết ông đã xác thực từng phát hiện để tránh các kết quả dương tính giả. Nhiều gói liên quan đến tiền điện tử bị ảnh hưởng nhận được hàng chục nghìn lượt tải xuống mỗi tuần và có nhiều gói khác phụ thuộc vào chúng để hoạt động. Trong một bài đăng trên mạng xã hội X được công bố vào sáng nay, Eriksen cũng đã cảnh báo đội ngũ Ethereum Name Service (ENS) rằng một số gói của họ đã bị ảnh hưởng.
“Shai Hulud là một phần của xu hướng tấn công chuỗi cung ứng rộng hơn. Vào đầu tháng Chín, cuộc tấn công NPM lớn nhất được báo cáo cho đến nay đã khiến tin tặc đánh cắp 50 triệu đô la tiền điện tử.”
Amazon Web Services lưu ý rằng cuộc tấn công đầu tiên này đã được theo sau bởi sâu Shai-Hulud lây lan tự động chỉ một tuần sau đó. Trong khi cuộc tấn công trước đó nhắm trực tiếp vào tiền điện tử để đánh cắp tài sản, Shai-Hulud là một phần mềm độc hại đa mục đích, đánh cắp thông tin xác thực và lây lan tự động qua cơ sở hạ tầng phát triển. Nếu môi trường bị nhiễm chứa khóa ví, phần mềm độc hại sẽ đánh cắp chúng như là “bí mật” giống như bất kỳ thông tin xác thực nào khác.
Các Gói Tiền Điện Tử Bị Ảnh Hưởng
Trong số tất cả các gói bị ảnh hưởng, ít nhất 10 gói liên quan cụ thể đến ngành công nghiệp tiền điện tử, và gần như tất cả đều liên quan đến ENS, một dịch vụ tên địa chỉ có thể đọc được bởi con người. Trong số các gói bị ảnh hưởng có gói content-hash của ENS, với gần 36.000 lượt tải xuống hàng tuần, và 91 gói phần mềm phụ thuộc vào nó, cũng như gói address-encoder, với hơn 37.500 lượt tải xuống hàng tuần.
Các gói ENS khác bị ảnh hưởng bao gồm ensjs (hơn 30.000 lượt tải xuống hàng tuần), ens-validation (1.750 lượt tải xuống hàng tuần), ethereum-ens (12.650 lượt tải xuống hàng tuần), và ens-contracts (gần 3.100 lượt tải xuống hàng tuần). Một gói liên quan đến tiền điện tử không thuộc ENS, có tên là crypto-addr-codec, cũng đã bị xâm phạm, với gần 35.000 lượt tải xuống.
Các gói không liên quan đến tiền điện tử bị ảnh hưởng bao gồm một số gói được cung cấp bởi nền tảng tự động hóa doanh nghiệp Zapier, trong đó có một gói có hơn 40.000 lượt tải xuống mỗi tuần và nhiều gói khác cũng không kém cạnh.
“Phạm vi của cuộc tấn công Shai Hulud mới này thực sự rất lớn; chúng tôi vẫn đang làm việc để xác nhận tất cả,” Eriksen viết trên X. “Nó sẽ khiến cuộc tấn công trước đó trông như không có gì.”
Các nhà nghiên cứu tại công ty an ninh mạng Wiz tuyên bố đã “phát hiện hơn 25.000 kho bị ảnh hưởng trên khoảng 350 người dùng duy nhất, với 1.000 kho mới đang được thêm vào liên tục mỗi 30 phút trong vài giờ qua.” Công ty khuyến nghị “điều tra và khắc phục ngay lập tức” cho bất kỳ môi trường nào sử dụng npm.
