" Хакеры взломали широко используемые библиотеки JavaScript, совершив, по их словам, крупнейшую атаку на цепочки поставок в истории. Сообщается, что внедренное вредоносное ПО предназначено для кражи криптовалюты путем подмены адресов кошельков и перехвата транзакций.
Утечка затронула основные библиотеки JavaScript, такие как Chalk и Strip-ANSI, которые загружаются миллиарды раз в неделю. Это вызывает серьезные опасения по поводу безопасности программного обеспечения с открытым исходным кодом.
Согласно нескольким сообщениям, поступившим в понедельник, хакеры взломали учетную запись менеджера пакетов Node (NPM) известного разработчика и тайно добавили вредоносное ПО в популярные библиотеки JavaScript, используемые миллионами приложений.
Вредоносный код подменяет или перехватывает адреса криптокошельков, что потенциально ставит под угрозу многие проекты.
«Идет масштабная атака на цепочки поставок: учетная запись NPM авторитетного разработчика была скомпрометирована, — предупредил в понедельник технический директор Ledger Шарль Гийеме. — Уязвимые пакеты уже были загружены более 1 млрд раз, что означает, что под угрозой может оказаться вся экосистема JavaScript».
Источник: Минал Тукрал.
Утечка затронула такие пакеты, как chalk, strip-ansi и color-convert — небольшие утилиты, глубоко запрятанные в деревьях зависимостей бесчисленных проектов. В совокупности эти библиотеки загружаются более миллиарда раз в неделю, а это означает, что даже разработчики, которые никогда не устанавливали их напрямую, могут быть подвержены риску.
NPM — это своего рода магазин приложений для разработчиков — центральная библиотека, где они делятся и скачивают небольшие пакеты кода для создания проектов JavaScript.
Похоже, злоумышленники внедрили криптоклиппер — вредоносное ПО, которое незаметно подменяет адреса кошельков во время транзакций для перехвата средств.
Исследователи безопасности предупреждают, что пользователи, использующие программные кошельки, могут быть особенно уязвимы, в то время как пользователи, подтверждающие каждую транзакцию в аппаратном кошельке, защищены.
Пользователям рекомендовано избегать криптовалютных транзакций
Согласно сообщению на X основателя DefiLlama 0xngmi, вредоносный код не опустошает кошельки автоматически — пользователям все равно придется одобрить некорректную транзакцию.
Поскольку взломанный пакет JavaScript может изменить то, что происходит при нажатии кнопки, нажатие кнопки «обменять» на уязвимом сайте может подменить данные транзакции и отправить средства хакеру.
Он добавил, что риску подвержены только проекты, обновленные после публикации скомпрометированного пакета, и многие разработчики «закрепляют» свои зависимости, чтобы продолжать использовать старые, безопасные версии.
Тем не менее, поскольку пользователи не могут легко определить, какие сайты были обновлены безопасно, лучше избегать использования криптовалютных сайтов, пока уязвимые пакеты не будут удалены.
Источник: 0xngmi
Фишинговые письма давали злоумышленникам доступ к учетным записям администраторов NPM
Злоумышленники рассылали письма от имени официальной службы поддержки NPM, предупреждая администраторов о блокировке их учетных записей, если они не «обновят» двухфакторную аутентификацию до 10 сентября.
Поддельный сайт перехватывал учетные данные, предоставляя хакерам контроль над учетной записью администратора. Проникнув на сайт, злоумышленники загружали вредоносные обновления в пакеты, которые еженедельно загружались миллиардами раз.
Чарли Эриксен, исследователь из Aikido Security, сообщил BleepingComputer, что атака была особенно опасна, поскольку действовала «на нескольких уровнях: изменяя контент, отображаемый на веб-сайтах, вмешиваясь в вызовы API и манипулируя тем, что, по мнению пользовательских приложений, они подписывают».
Фишинговое письмо, отправленное разработчикам JavaScript в понедельник. Источник: Github/Burnett01.
Однако, несмотря на масштаб взлома цепочки поставок, затронувшего библиотеки JavaScript, хакерам удалось украсть криптовалюту на сумму всего около $50. Эксперты по информационной безопасности связывают это с недостаточной реализацией потенциала атаки злоумышленниками.
