Một cuộc tấn công mạng mới đang đánh cắp tiền điện tử từ người dùng khi họ gửi giao dịch và nhiều chuyên gia gọi đây là cuộc tấn công chuỗi cung ứng lớn nhất trong lịch sử. Hacker đã đột nhập vào tài khoản của những người bảo trì gói npm bằng email lừa đảo. Những email này trông như đến từ “[email protected]“, sao chép sổ đăng ký npm thực tế. Các tin nhắn nói với các nhà phát triển rằng tài khoản của họ sẽ bị khóa trừ khi họ cập nhật xác thực hai yếu tố. Khi người bảo trì nhấp vào liên kết, kẻ tấn công đã có được thông tin đăng nhập của họ và đặt phần mềm độc hại bên trong các gói npm phổ biến.
Mười tám thư viện JavaScript được sử dụng rộng rãi đã bị xâm phạm, bao gồm chalk, debug và ansi-styles. Kết hợp lại, các gói này nhận được hàng tỷ lượt tải xuống mỗi tuần và được các nhà phát triển trên toàn thế giới sử dụng. Điều đó có nghĩa là toàn bộ hệ sinh thái JavaScript có thể đã bị phơi bày. BleepingComputer đưa tin rằng những kẻ tấn công đã tiêm mã vào các thư viện này, hoạt động như một trình chặn dựa trên trình duyệt. Mã này giám sát lưu lượng truy cập mạng và tìm kiếm các giao dịch tiền điện tử trên Bitcoin, Ethereum, Solana, Tron, Litecoin và Bitcoin Cash. Khi ai đó gửi chuyển khoản, phần mềm độc hại đã thay thế địa chỉ ví thực bằng địa chỉ do hacker kiểm soát trước khi giao dịch được ký.
Nhà nghiên cứu bảo mật Charlie Eriksen giải thích rằng phần mềm độc hại hoạt động theo nhiều cách. Nó thay đổi những gì được hiển thị trên các trang web, can thiệp vào các lệnh gọi API và lừa các ứng dụng ký các giao dịch mà người dùng không có ý định thực hiện. Charles Guillemet, CTO của Ledger, cảnh báo rằng cuộc tấn công vẫn đang diễn ra và cho biết người dùng tiền điện tử nên tránh thực hiện các giao dịch trên chuỗi nếu họ chỉ sử dụng ví phần mềm. Người dùng ví phần cứng có thể tự bảo vệ mình bằng cách kiểm tra chi tiết trước khi ký, nhưng bất kỳ ai không có ví phần cứng đều phải đối mặt với rủi ro cao hơn.
Các nhà nghiên cứu cũng phát hiện ra rằng cơ sở hạ tầng lừa đảo đã gửi chi tiết bị đánh cắp đến “websocket-api2.publicvm.com”. Điều này cho thấy cuộc tấn công đã được phối hợp tốt. Nó tiếp theo các sự cố npm khác vào đầu năm nay, bao gồm một sự cố vào tháng 3 đã vá gói ethers bằng một lớp vỏ ngược và một sự cố khác vào tháng 7 nhắm vào eslint-config-prettier. Chiến dịch tiếp tục phát triển và lần này, kẻ tấn công đã sử dụng các hợp đồng thông minh Ethereum theo một cách mới. Hai gói npm có tên là colortoolsv2 và mimelib2 đã ẩn các lệnh độc hại bên trong các hợp đồng thông minh Ethereum. Sau khi tải xuống, các gói đã cài đặt phần mềm độc hại giai đoạn hai, khiến việc phát hiện trở nên khó khăn hơn.
Hợp đồng thông minh Ethereum là các chương trình nhỏ chạy trên blockchain. Chúng công khai và hoạt động như các API mở. Trong trường hợp này, hacker đã sử dụng chúng để lưu trữ các liên kết để tải xuống phần mềm độc hại, vì vậy ngay cả khi ai đó kiểm tra gói, họ có thể không thấy mã nguy hiểm. Phương pháp chỉ huy và kiểm soát sáng tạo này cho thấy các tác nhân đe dọa đang thích nghi để tránh bị phát hiện như thế nào.
Kẻ tấn công cũng cố gắng làm cho các kho lưu trữ GitHub của họ trông đáng tin cậy. Họ đã tạo ra các dự án giả mạo như solana-trading-bot-v2 và ethereum-mev-bot-v2. Chúng có nhiều sao, người theo dõi và cam kết, nhưng hầu hết hoạt động này là giả mạo. Các tài khoản đã được tạo cùng một lúc, thường chỉ với một tệp và các cam kết tự động đã làm tăng số lượng. Thủ thuật kỹ thuật xã hội này đã khiến các kho lưu trữ trông có thật đối với các nhà phát triển, những người có thể đưa các gói npm độc hại vào công việc của họ.
Các chuyên gia cảnh báo rằng các cuộc tấn công chuỗi cung ứng đặc biệt nguy hiểm vì chúng nhắm vào các công cụ đáng tin cậy. Bằng cách ẩn phần mềm độc hại bên trong các thư viện nguồn mở, hacker có thể tiếp cận hàng triệu nhà phát triển và người dùng cuối cùng cùng một lúc. Chỉ trong năm nay, các nhà nghiên cứu đã tìm thấy hơn hai mươi chiến dịch trên npm, GitHub và PyPI nhằm đánh cắp tiền điện tử. Một số sử dụng trình thu thập thông tin, những người khác triển khai trình khai thác tiền xu và nhiều người dựa vào lừa đảo để thu thập dữ liệu nhạy cảm.
Chỉ số xâm phạm (IOC), chẳng hạn như các miền đáng ngờ, mã bị che giấu và các kho lưu trữ giả, giúp các nhóm bảo mật phát hiện các mối đe dọa này. Tuy nhiên, nhiều người dùng sẽ không nhận thấy cho đến khi tiền bị mất. Hiện tại, các nhà phát triển cần kiểm tra cẩn thận các gói, người bảo trì và mã trước khi sử dụng. Người dùng tiền điện tử nên xem xét ví phần cứng và tránh thực hiện các giao dịch lớn cho đến khi mối đe dọa được kiểm soát. Cuộc tấn công cho thấy tội phạm mạng đang phát triển nhanh như thế nào và tầm quan trọng của việc bảo mật cả chuỗi cung ứng phần mềm và tài sản kỹ thuật số.
