Nowy cyberatak kradnie kryptowaluty użytkownikom podczas wysyłania transakcji, a wielu ekspertów nazywa go największym atakiem na łańcuch dostaw w historii. Hakerzy włamali się na konta osób utrzymujących pakiety npm, używając e-maili phishingowych. E-maile te wyglądały tak, jakby pochodziły z “[email protected]“, kopiując prawdziwy rejestr npm. Wiadomości informowały deweloperów, że ich konta zostaną zablokowane, jeśli nie zaktualizują uwierzytelniania dwuskładnikowego. Kiedy osoby utrzymujące pakiety klikały link, atakujący uzyskiwali dane logowania i umieszczali złośliwe oprogramowanie w popularnych pakietach npm.
Osiemnaście szeroko stosowanych bibliotek JavaScript zostało naruszonych, w tym chalk, debug i ansi-styles. Łącznie pakiety te są pobierane miliardy razy każdego tygodnia i są używane przez deweloperów na całym świecie. Oznacza to, że cały ekosystem JavaScript mógł zostać narażony. BleepingComputer poinformował, że atakujący wstrzyknęli do tych bibliotek kod, który działał jak przechwytujący na poziomie przeglądarki. Kod ten monitorował ruch w sieci i wyszukiwał transakcje kryptowalutowe w Bitcoin, Ethereum, Solana, Tron, Litecoin i Bitcoin Cash. Kiedy ktoś wysyłał przelew, złośliwe oprogramowanie zastępowało prawdziwy adres portfela adresem kontrolowanym przez hakerów przed podpisaniem transakcji.
Badacz bezpieczeństwa Charlie Eriksen wyjaśnił, że złośliwe oprogramowanie działa na kilka sposobów. Zmienia to, co jest wyświetlane na stronach internetowych, ingeruje w wywołania API i oszukuje aplikacje, aby podpisywały transakcje, których użytkownik nie zamierzał wykonać. Charles Guillemet, dyrektor ds. technicznych w Ledger, ostrzegł, że atak jest wciąż aktywny i stwierdził, że użytkownicy kryptowalut powinni unikać dokonywania transakcji on-chain, jeśli używają tylko portfeli programowych. Użytkownicy portfeli sprzętowych mogą się chronić, sprawdzając szczegóły przed podpisaniem, ale każdy, kto nie ma portfela sprzętowego, jest narażony na większe ryzyko.
Naukowcy odkryli również, że infrastruktura phishingowa wysyłała skradzione dane do “websocket-api2.publicvm.com”. To pokazuje, że atak był dobrze skoordynowany. Następuje to po innych incydentach npm na początku tego roku, w tym jednym w marcu, który załatał pakiet ethers za pomocą reverse shell, oraz innym w lipcu, który był skierowany na eslint-config-prettier. Kampania wciąż ewoluuje, a tym razem atakujący wykorzystali inteligentne kontrakty Ethereum w nowy sposób. Dwa pakiety npm o nazwach colortoolsv2 i mimelib2 ukryły złośliwe polecenia w inteligentnych kontraktach Ethereum. Po pobraniu pakiety zainstalowały złośliwe oprogramowanie drugiego etapu, co utrudniało jego wykrycie.
Inteligentne kontrakty Ethereum to małe programy, które działają na blockchainie. Są publiczne i działają jak otwarte interfejsy API. W tym przypadku hakerzy wykorzystali je do przechowywania linków do pobierania złośliwego oprogramowania, więc nawet jeśli ktoś sprawdziłby pakiet, mógłby nie zobaczyć niebezpiecznego kodu. Ta kreatywna metoda dowodzenia i kontroli pokazuje, jak aktorzy zagrożeń dostosowują się, aby uniknąć wykrycia.
Atakujący próbowali również sprawić, by ich repozytoria GitHub wyglądały na godne zaufania. Stworzyli fałszywe projekty, takie jak solana-trading-bot-v2 i ethereum-mev-bot-v2. Miały one wiele gwiazdek, obserwujących i zatwierdzeń, ale większość tej aktywności była fałszywa. Konta zostały utworzone w tym samym czasie, często tylko z jednym plikiem, a zautomatyzowane zatwierdzenia zawyżały liczby. Ten trik inżynierii społecznej sprawił, że repozytoria wyglądały na prawdziwe dla deweloperów, którzy mogli uwzględnić złośliwe pakiety npm w swojej pracy.
Eksperci ostrzegają, że ataki na łańcuch dostaw są szczególnie niebezpieczne, ponieważ są skierowane na zaufane narzędzia. Ukrywając złośliwe oprogramowanie w bibliotekach open source, hakerzy mogą jednocześnie dotrzeć do milionów deweloperów i użytkowników końcowych. Tylko w tym roku naukowcy odkryli ponad dwadzieścia kampanii w npm, GitHub i PyPI, których celem było kradzież kryptowalut. Niektóre wykorzystywały infostealery, inne wdrażały kopaczy monet, a wiele z nich polegało na phishingu w celu przechwycenia poufnych danych.
Wskaźniki kompromitacji (IOC), takie jak podejrzane domeny, zaciemniony kod i fałszywe repozytoria, pomagają zespołom ds. bezpieczeństwa w wykrywaniu tych zagrożeń. Mimo to wielu użytkowników nie zauważy niczego, dopóki fundusze nie znikną. Na razie deweloperzy muszą dokładnie sprawdzać pakiety, osoby utrzymujące pakiety i kod przed użyciem. Użytkownicy kryptowalut powinni rozważyć portfele sprzętowe i unikać dokonywania dużych przelewów, dopóki zagrożenie nie zostanie opanowane. Atak pokazuje, jak szybko ewoluuje cyberprzestępczość i jak ważne jest zabezpieczanie zarówno łańcuchów dostaw oprogramowania, jak i aktywów cyfrowych.
