Нова кібератака краде криптовалюту у користувачів під час надсилання транзакцій, і багато експертів називають її найбільшою атакою на ланцюг поставок в історії. Хакери зламали облікові записи супроводжуючих пакети npm, використовуючи фішингові електронні листи. Ці листи виглядали так, ніби вони надійшли від “[email protected]“, копіюючи справжній реєстр npm. Повідомлення повідомляли розробників, що їхні облікові записи будуть заблоковані, якщо вони не оновлять двофакторну аутентифікацію. Коли супроводжуючі переходили за посиланням, зловмисники отримували їхні дані для входу та розміщували шкідливе програмне забезпечення всередині популярних пакетів npm.
Вісімнадцять широко використовуваних бібліотек JavaScript були скомпрометовані, включаючи chalk, debug та ansi-styles. Разом ці пакети завантажуються мільярди разів щотижня і використовуються розробниками по всьому світу. Це означає, що вся екосистема JavaScript, можливо, піддалася ризику. BleepingComputer повідомило, що зловмисники впровадили в ці бібліотеки код, який діяв як перехоплювач на основі браузера. Цей код відстежував мережевий трафік та шукав криптотранзакції в Bitcoin, Ethereum, Solana, Tron, Litecoin та Bitcoin Cash. Коли хтось надсилав переказ, шкідливе програмне забезпечення замінювало справжню адресу гаманця на адресу, контрольовану хакерами, до підписання транзакції.
Дослідник безпеки Чарлі Еріксен пояснив, що шкідливе програмне забезпечення працює кількома способами. Воно змінює те, що відображається на веб-сайтах, підробляє виклики API та обманює програми, змушуючи їх підписувати транзакції, які користувач не збирався робити. Шарль Гійем, технічний директор Ledger, попередив, що атака все ще активна, і заявив, що криптокористувачі повинні уникати здійснення ончейн-транзакцій, якщо вони використовують лише програмні гаманці. Користувачі апаратних гаманців можуть захистити себе, перевіряючи деталі перед підписанням, але будь-хто, хто не має такого гаманця, стикається з вищим ризиком.
Дослідники також виявили, що фішингова інфраструктура надсилала викрадені дані на «websocket-api2.publicvm.com». Це показує, що атака була добре скоординована. Вона слідує за іншими інцидентами npm на початку цього року, включаючи один у березні, який пропатчив пакет ethers за допомогою reverse shell, та інший у липні, який націлився на eslint-config-prettier. Кампанія продовжує розвиватися, і цього разу зловмисники використали смарт-контракти Ethereum у новий спосіб. Два пакети npm під назвами colortoolsv2 та mimelib2 приховували шкідливі команди всередині смарт-контрактів Ethereum. Після завантаження пакети встановлювали шкідливе програмне забезпечення другого етапу, що ускладнювало його виявлення.
Смарт-контракти Ethereum — це невеликі програми, які працюють на блокчейні. Вони публічні та діють як відкриті API. У цьому випадку хакери використали їх для зберігання посилань для завантаження шкідливого програмного забезпечення, тому, навіть якщо хтось перевіряв пакет, він міг не побачити небезпечний код. Цей креативний метод керування та контролю показує, як суб’єкти загроз адаптуються, щоб уникнути виявлення.
Зловмисники також намагалися зробити свої репозиторії GitHub заслуговуючими довіри. Вони створили підроблені проєкти, такі як solana-trading-bot-v2 та ethereum-mev-bot-v2. У них було багато зірок, спостерігачів і коммітів, але більша частина цієї активності була підробленою. Облікові записи були створені одночасно, часто лише з одним файлом, а автоматизовані комміти роздували цифри. Цей трюк соціальної інженерії змусив репозиторії виглядати справжніми для розробників, які можуть включити шкідливі пакети npm у свою роботу.
Експерти попереджають, що атаки на ланцюг поставок особливо небезпечні, оскільки вони націлені на надійні інструменти. Сховавши шкідливе програмне забезпечення всередині бібліотек з відкритим вихідним кодом, хакери можуть охопити мільйони розробників та кінцевих користувачів одночасно. Тільки цього року дослідники виявили понад двадцять кампаній на npm, GitHub та PyPI, спрямованих на крадіжку криптовалюти. Деякі використовували інфостілери, інші розгорнули майнери монет, і багато покладалися на фішинг для захоплення конфіденційних даних.
Індикатори компрометації (IOC), такі як підозрілі домени, обфускований код і підроблені репозиторії, допомагають групам безпеки виявляти ці загрози. Тим не менш, багато користувачів нічого не помітять, поки кошти не зникнуть. Наразі розробникам необхідно ретельно перевіряти пакети, супроводжуючих та код перед використанням. Кріптокористувачі повинні розглянути апаратні гаманці та уникати великих переказів, поки загрозу не буде взято під контроль. Атака показує, як швидко розвивається кіберзлочинність і наскільки важливо забезпечити безпеку як ланцюгів поставок програмного забезпечення, так і цифрових активів.
