Ang teknikal na komunidad ay nag-iimbestiga isang pag-atake sa supply chain ng NPM na nag-target ng malawakang ginagamit na mga library ng JavaScript. Ayon sa maraming pangkat ng seguridad, ang mga umaatake ay nag-snuck ng malware na may crypto-clipper functionality sa malawak na ipinamamahaging mga pakete, na may potensyal na baguhin ang mga transaksyon at ilihis ang mga cryptocurrencies.
Kahit na ang potensyal na saklaw ay napakalaki dahil sa kasikatan ng mga dependency na ito sa JavaScript ecosystemAng mga paunang pagsusuri ay tumutukoy sa isang limitadong epekto sa ekonomiya: ang mga maliliit na halaga, sa ilalim ng ilang daang dolyar, ay naiulat na inilipat habang ang mga supplier at ang registry ay kumilos upang alisin ang mga manipuladong bersyon.
Paano ginawa ang panghihimasok
Nagsimula ang panghihimasok sa Mga email sa phishing na ginagaya ang opisyal na suporta sa npm, apurahang i-update ng mga nagdedemand ng package maintainer ang kanilang two-factor authentication. Ang isang pekeng site ay nakakuha ng mga kredensyal at code, na nagpapahintulot sa mga umaatake na kontrolin ang isang account na may malawak na mga pahintulot (na nauugnay sa komunidad na may alyas na "Qix") at mag-publish ng mga adulterated na bersyon ng iba't ibang gamit.
Ang mga mananaliksik tulad ng Aikido Security at ang JDSTAERK collective ay naglalarawan ng isang kampanyang may kakayahang baguhin ang nilalaman sa mga site, harangin ang mga tawag sa API, at baguhin kung ano ang iniisip ng user na nilalagdaan nila., pagtaas ng panganib para sa mga serbisyo sa web na nagsasama ng mga aklatang ito sa pamamagitan ng malalim na mga chain ng dependency.
Mga apektadong pakete at saklaw
Naapektuhan ang gap napakapangunahing mga kagamitan na naroroon sa maraming proyekto, kaya kahit na ang mga computer na hindi direktang nag-i-install ng mga ito ay maaaring nalantad sa pamamagitan ng mga transitive dependencies. Kabilang sa mga pangalang binanggit ng mga security firm at developer ay:
- chalk, chalk-template, strip-ansi, slice-ansi, wrap-ansi, supports-color
- color-convert, color-name, color-string
- ansi-regex, ansi-styles, has-ansi
- debug, error-ex, is-arrayish, simple-swizzle
- sumusuporta-hyperlink, backslash, proto-tinker-wc
Naiipon ang mga piraso ng software na ito Milyun-milyong lingguhang pag-download at mahigit isang bilyon sa mga makasaysayang talaan, na kumikilos bilang pangunahing mga bloke ng gusali para sa mga modernong server, mga tool sa command-line, at mga web application.
Paano gumagana ang malware
Ang malisyosong code ay gumana bilang a crypto-clipper: Sa pamamagitan ng pag-detect ng mga environment na may software wallet (hal. mga extension tulad ng MetaMask), naharang nito ang data ng transaksyon bago pumirma at pinalitan ang address na patutunguhan ng isa pang kontrolado ng mga umaatake.
Kung hindi nito natukoy ang isang aktibong wallet, sinubukan ng implant na a passive exfiltration ng impormasyon sa mga panlabas na server. Sa mga aktibong sitwasyon ng wallet, bilang karagdagan sa pagmamanipula ng mga tawag sa API, sinusubaybayan nito ang clipboard upang muling isulat ang mga address na kinopya ng user, isang klasikong trick sa ganitong uri ng pandaraya.
Itinuturo ng mga espesyalista na ang mga patunayan ang mga detalye sa isang hardware wallet sa screen Mayroon silang pisikal na hadlang na humahadlang sa vector na ito: ang panghuling kumpirmasyon ay ginawa sa device at ang ipinapakitang address ay hindi maaaring baguhin ng browser o ng web.
Tunay na epekto sa ngayon
Sa kabila ng laki ng pagkakalantad, ang pera na inilipat ng mga umaatake ay napakaliit (sampu hanggang ilang daang dolyar), ayon sa iba't ibang chain traces na ginawang pampubliko ng mga mananaliksik. Ang ilang mga supplier ay agad na nagbabala at hindi pinagana ng registry ang mga nakompromisong post sa loob ng ilang oras.
Crypto wallet at mga service team tulad ng Ledger, Trezor, MetaMask, Phantom o Uniswap Iniulat nila na hindi sila apektado ng mga binagong bersyon o pinoprotektahan ng mga layered na depensa. Gayunpaman, inirerekomenda nila ang maingat na pagsusuri sa bawat transaksyong nilagdaan at pagpapanatili ng mahusay na mga kasanayan sa pag-verify.
Ang babala para sa mga developer ay malinaw: kung isang proyekto na-update na mga dependency sa panahon ng commit window, magandang ideya na i-audit ang buong puno at muling buuin gamit ang malinis na mga bersyon, kahit na hindi direktang pinangangasiwaan ng application ang mga cryptocurrencies.
Ano ang dapat gawin ng mga developer at team
Higit pa sa agarang remediation, ang mga organisasyon ay dapat magpatibay mga kontrol sa supply chain para bawasan ang attack surface sa JavaScript at Node.js environment. Kabilang sa mga priority measure ang:
- Pag-pin ng mga bersyon at paggamit ng mga lockfile; hindi pagpapagana ng mga awtomatikong pag-update sa produksyon.
- I-verify ang mga lagda, checksum, at pinanggalingan; ipatupad ang mga patakaran sa pagsusuri bago ang publikasyon.
- I-enable ang 2FA gamit ang mga security key ng FIDO at paikutin ang mga token at sikreto nakalantad.
- Isama ang mga dependency scanner at SBOM; subaybayan ang mga hindi inaasahang pagbabago sa mga kritikal na pakete.
- Gumawa ng malinis na mga build at mabilis na i-rollback sa mga palatandaan ng kompromiso.
Para sa mga end user, napupunta ang payo tingnan ang address at halaga sa device Bago pumirma, mag-ingat sa mga hindi inaasahang pop-up at i-pause ang mga operasyon kung may nakita kang kakaibang gawi sa mga karaniwang website o dApps.
Kronolohiya at mga protagonista
Natukoy ng komunidad ang kampanya sa simula ng linggo, kung saan ang mga numero sa sektor tulad ng Ledger CTO Charles Guillemet, binalaan ang panganib ng mga aklatang ito na tumagos sa halos anumang stack ng JavaScript. Pagkalipas ng ilang oras, nagbahagi ang mga koponan tulad ng Blockaid at Aikido ng mga listahan ng nasuri na mga pakete at artifact.
Kinumpirma ng maintainer na naka-link sa nakompromisong account sa social media na biktima siya isang 2FA reset scam at humingi ng paumanhin habang nakikipag-ugnayan sa npm para alisin ang mga malisyosong post. Ipinahiwatig ng registry provider na nakikipagtulungan ito sa mga mananaliksik upang isara ang mga maluwag na dulo at palakasin ang mga kontrol.
Bagama't ang lahat ay tumuturo sa limitadong pinsala sa ekonomiyaNilinaw ng episode na ang seguridad ng JavaScript ecosystem ay nakasalalay sa pagprotekta sa mga pagkakakilanlan ng maintainer, pagpapatigas ng mga paglabas ng package, at pag-aakalang ang mga dependency ay isang kritikal na link; Ang pagpapatibay sa mga puntong ito ay binabawasan ang posibilidad ng isang katulad na insidente na magbukas muli ng mga pinto sa mga umaatake.