Хакеры взломали аккаунт известного разработчика под никомqix и встроили вредоносный код ввсе NPM-пакеты этого автора. Среди зараженных JavaScript библиотек оказались и такие сверхпопулярные, такие как chalk и debug-js. Вместе они имеют более 2 миллиардов загрузок в неделю. Это кибернападение можно назвать крупнейшей атакой на цепочку поставок в истории.
Автора пакетов скомпрометировали фишинговым электронным письмом, отправленным с support@npmjs[.]help. На момент написания этого письма этот домен больше недоступен. Электронное письмо содержало ссылку, которая загружала контент из двух контролируемых злоумышленником BunnyCDN корзин. Один из загруженных скриптов был вором учетных данных, который сохраняет имя пользователя, пароль и 2FA-код и отправляет их на удаленный хост по адресу websocket-api2.publicvm[.]com. После компрометации учетной записи злоумышленник обновил все пакеты и встроил похититель криптовалют. Это ПО атакует только десктопы и проверяет, существует ли window.ethereum, и если да, устанавливает перехватчики на функции request, send и sendAsync. Он также перезаписывает функции fetch и XMLHttpRequest.prototype.open и XMLHttpRequest.prototype.send. Если window.ethereum найден, вредоносный скрипт перехватывает как Ethereum, так и Solana запросы. В случае Ethereum он автоматически перезаписывает адрес назначения любого вызова на кошелек злоумышленника.
Пока что хакеры смогли украсть криптовалют только на $50. Вредоносное ПО было настроено так, чтобы воровать сохранения с кошельков Ethereum и Solana.
«Представьте себе: вы компрометируете учетную запись NPM разработчика, чьи пакеты загружаются более 2 миллиардов раз в неделю. Вы могли бы иметь неограниченный доступ к миллионам рабочих станций разработчиков. Бесчисленные богатства ждут вас. Мир в ваших руках. А вы зарабатываете меньше $50,» — пошутили в Security Alliance.
Хакер по какой-то причине воспользовался полученным доступом. Вредоносное ПО почти полностью нейтрализовано. Хотя накануне исследователи Security Alliance называли цифру в $0.05, которая за несколько часов все же выросла до $50. То есть, потенциально количество пострадавших может увеличиться со временем.
В адрес преступников пока попали только мемокоины Brett (BRETT), Andy (ANDY), Dork Lord (DORK), Ethervista (VISTA) и Gondola (GONDOLA).
Если пользовались пакетами от qix:
- Проверьте локальные node_modules, содержат ли они вредоносное ПО: grep -R ‘checkethereumw’
- Проверьте npm-кэш с помощью этого скрипта от phxgg
- Проверьте проект с помощью этого скрипта от AndrewMohawk
Источник: Security Alliance
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: