Atak na łańcuch dostaw w NPM: 1,07 miliarda pobrań

Atak na łańcuch dostaw w NPM: 1.07 miliardów pobrań wpływa na narzędzia ekosystemu szeroko stosowane w projektach JavaScript i kryptowalutowych aplikacjach internetowych. W rezultacie ładunek działa jak crypto-clipper, przechwytując odpowiedzi internetowe i transakcje portfela oraz zastępując adresy.

Weex Banner

Skala i powierzchnia ataku

Raport szczegółowo opisuje cały złośliwy kod i jego funkcje. Zasadniczo mamy do czynienia z zagrożeniem o bezprecedensowym rozmiarze, ponieważ złośliwe kompilacje zostały celowo opublikowane dla podstawowych narzędzi, które znajdują się głęboko w drzewach zależności projektów internetowych. Nie są to niszowe biblioteki, ale niezwykle popularne bloki konstrukcyjne, od których tranzytowo zależą prawie wszystkie nowoczesne potoki kompilacji frontendów i backendów. Wśród nich:

• chalk z około 300 milionami pobrań tygodniowo

• strip-ansi z około 261 milionami

• color-convert z około 193 milionami

• color-name z około 191 milionami

• is-core-module z około 69 milionami pobrań

• error-ex z około 47 milionami

• has-ansi z około 12 milionami

Mechanika ładunku: Pasywne zastępowanie adresów i aktywne przechwytywanie transakcji

Na pierwszym etapie sprawdza obecność window.ethereum, co oznacza obecność rozszerzeń portfela, takich jak MetaMask. Jeśli nie ma, istnieje pasywny wektor: skrypt małpuje natywny fetch i XMLHttpRequest, przechwytuje wszystkie odpowiedzi internetowe i skanuje tekst za pomocą wyrażeń regularnych w poszukiwaniu adresów kryptograficznych dla Bitcoin, Ethereum, Solana, Tron, Litecoin i Bitcoin Cash.

Po znalezieniu adresu kod sprawdza, czy należy on do atakującego, a jeśli nie, wybiera "najbardziej podobny" z predefiniowanej listy atakującego przy użyciu odległości Levenshteina i zastępuje treść odpowiedzi w locie. Znacznie zwiększa to dyskrecję dla użytkownika: adres jest wizualnie zbliżony do oryginału, a podstawienie następuje w warstwie sieciowej, zanim interfejs uzyska dostęp do danych.

W przypadku wykrycia portfela istnieje jeszcze bardziej niebezpieczny wektor. Funkcje żądania/wysyłania portfela są łatane w celu przechwycenia danych transakcji przed podpisaniem. Podczas wywoływania czegoś takiego jak eth_sendTransaction, ładunek modyfikuje pola docelowe w pamięci, wstawiając ściśle zakodowany adres atakującego. Wynikający z tego scenariusz jest szczególnie podstępny w przypadku nieuważnych kontroli: użytkownik może zobaczyć prawidłowy adres w interfejsie użytkownika, ale podpisuje transakcję z podstawionym odbiorcą, a środki trafiają do atakującego.

Warto zauważyć, że w logice pasywnego zastępowania istnieje dodatkowy środek ukrycia dla Ethereum: jeśli portfel jest aktywny, adresy ETH nie są przepisywane tą ścieżką, co zmniejsza ryzyko zauważalnego niedopasowania, gdy aktywny scenariusz działa jednocześnie.

Wśród adresów zaangażowanych w Ethereum, 0xFc4a4858bafef54D1b17697bfb5c52F4c166976. Na poziomie artefaktów kodu uwagę zwracają nazwy funkcji, takie jak _0x20669a, odpowiedzialna za zamianę adresów, oraz runmask, która inicjuje przechwytywanie metod portfela, co może uprościć wykrywanie w retrospektywnej analizie kompilacji.

Podsumowanie

Bardzo obrazowa sytuacja - nawet niewielka biblioteka w węźle drzewa zależności może stać się punktem wejścia do kompromitacji całego ekosystemu. Wymaga to podstawowej inwentaryzacji zależności i potoków kompilacji, używania npm ci do odtwarzalnych kompilacji i tymczasowego przypinania znanych bezpiecznych wersji pakietów przechodnich.

W przeciwnym razie, do czasu ogłoszenia weryfikacji i aktualizacji przez głównych graczy kryptowalutowych, lepiej nie dokonywać żadnych transakcji. Bądź na bieżąco i otrzymuj najnowsze aktualizacje w branży kryptowalut i blockchain.