Ειδοποίηση NPM: Παραβίαση βασικών βιβλιοθηκών JavaScript

  • Μια καμπάνια ηλεκτρονικού "ψαρέματος" (phishing) επέτρεψε τη δημοσίευση κακόβουλων εκδόσεων στο NPM και την παραβίαση βασικών βιβλιοθηκών JavaScript.
  • Το κακόβουλο λογισμικό λειτουργούσε ως κρυπτο-ψαλίδι, αντικαθιστώντας διευθύνσεις κατά την υπογραφή συναλλαγών.
  • Χαμηλός οικονομικός αντίκτυπος και γρήγορος μετριασμός· αρκετοί πάροχοι και πορτοφόλια δεν επηρεάστηκαν.
  • Συστάσεις: Ελέγξτε τις εξαρτήσεις, διορθώστε τις εκδόσεις, επιβάλετε το 2FA και επαληθεύστε τις συναλλαγές σε πορτοφόλια υλικού.
Creativos Online

5 λεπτά

Εικονογράφηση σχετικά με την JavaScript

Η τεχνική κοινότητα ερευνά μια επίθεση στην αλυσίδα εφοδιασμού NPM που έχει στοχεύσει ευρέως χρησιμοποιούμενες βιβλιοθήκες JavaScript. Σύμφωνα με πολλαπλές ομάδες ασφαλείας, οι εισβολείς εισέβαλαν κρυφά κακόβουλο λογισμικό με λειτουργικότητα κρυπτογράφησης σε ευρέως διανεμημένα πακέτα, με τη δυνατότητα να τροποποιήστε τις συναλλαγές και εκτρέψτε τα κρυπτονομίσματα.

Αν και το πιθανό πεδίο εφαρμογής είναι τεράστιο λόγω της δημοτικότητα αυτών των εξαρτήσεων στο οικοσύστημα JavaScriptΟι αρχικές αναλύσεις δείχνουν περιορισμένο οικονομικό αντίκτυπο: μικρά ποσά, κάτω από μερικές εκατοντάδες δολάρια, φέρεται να μετακινήθηκαν, ενώ οι προμηθευτές και το μητρώο ενήργησαν για την αφαίρεση παραποιημένων εκδόσεων.

Πώς διαπράχθηκε η εισβολή

Η εισβολή ξεκίνησε με Ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" (phishing) που μιμούνται την επίσημη υποστήριξη npm, απαιτώντας από τους συντηρητές πακέτων να ενημερώσουν επειγόντως τον έλεγχο ταυτότητας δύο παραγόντων. Ένας ψεύτικος ιστότοπος κατέγραψε διαπιστευτήρια και κώδικα, επιτρέποντας στους εισβολείς να πάρουν τον έλεγχο ενός λογαριασμού με εκτεταμένα δικαιώματα (που σχετίζονται στην κοινότητα με το ψευδώνυμο "Qix") και δημοσιεύουν νοθευμένες εκδόσεις διαφόρων χρήσεων.

κακόβουλο λογισμικό svg
σχετικό άρθρο:
Οι κυβερνοεπιτιθέμενοι χρησιμοποιούν αρχεία SVG για να μολύνουν με κακόβουλο λογισμικό

Ερευνητές όπως το Aikido Security και η συλλογικότητα JDSTAERK περιγράφουν μια εκστρατεία ικανή να τροποποιήστε περιεχόμενο σε ιστότοπους, αναχαιτίστε κλήσεις API και αλλάξτε τι νομίζει ο χρήστης ότι υπογράφει., αυξάνοντας τον κίνδυνο για τις διαδικτυακές υπηρεσίες που ενσωματώνουν αυτές τις βιβλιοθήκες μέσω αλυσίδων βαθιάς εξάρτησης.

Οικοσύστημα πακέτων JavaScript

Επηρεαζόμενα πακέτα και εύρος

Το κενό που επηρεάζεται πολύ βασικές υπηρεσίες κοινής ωφέλειας που υπάρχουν σε πολλά έργα, επομένως ακόμη και οι υπολογιστές που δεν τα εγκαθιστούν απευθείας θα μπορούσαν να έχουν εκτεθεί μέσω μεταβατικών εξαρτήσεων. Μεταξύ των ονομάτων που αναφέρονται από εταιρείες ασφαλείας και προγραμματιστές είναι:

  • κιμωλία, πρότυπο-κιμωλίας, λωρίδα-ansi, φέτα-ansi, περιτύλιγμα-ansi, χρώμα-στήριξης
  • μετατροπή-χρώματος, όνομα-χρώματος, συμβολοσειρά-χρώματος
  • ansi-regex, ansi-styles, has-ansi
  • εντοπισμός σφαλμάτων, error-ex, is-arrayish, simple-swizzle
  • υποστηρίζει υπερσυνδέσμους, ανάστροφη κάθετο, proto-tinker-wc

Αυτά τα κομμάτια λογισμικού συσσωρεύονται Εκατομμύρια εβδομαδιαίες λήψεις και πάνω από ένα δισεκατομμύριο ιστορικά αρχεία, λειτουργώντας ως θεμελιώδη δομικά στοιχεία για σύγχρονους διακομιστές, εργαλεία γραμμής εντολών και εφαρμογές ιστού.

Ασφάλεια σε JavaScript

Πώς λειτουργεί το κακόβουλο λογισμικό

Ο κακόβουλος κώδικας λειτούργησε ως κρυπτο-κόπτηςΑνιχνεύοντας περιβάλλοντα με πορτοφόλια λογισμικού (π.χ. επεκτάσεις όπως το MetaMask), υποκλέπτει δεδομένα συναλλαγών λίγο πριν την υπογραφή και αντικατέστησε τη διεύθυνση προορισμού από ένα άλλο που ελέγχεται από τους επιτιθέμενους.

Εάν δεν αναγνώριζε ένα ενεργό πορτοφόλι, το εμφύτευμα επιχειρούσε ένα παθητική εξαγωγή πληροφοριών σε εξωτερικούς διακομιστές. Σε σενάρια ενεργού πορτοφολιού, εκτός από τον χειρισμό κλήσεων API, παρακολουθούσε το πρόχειρο για να ξαναγράψει διευθύνσεις που αντιγράφονταν από τον χρήστη, ένα κλασικό τέχνασμα σε αυτό το είδος απάτης.

Οι ειδικοί επισημαίνουν ότι όσοι επικυρώστε τις λεπτομέρειες σε ένα πορτοφόλι υλικού στην οθόνη Έχουν ένα φυσικό εμπόδιο που εμποδίζει αυτό το διάνυσμα: η τελική επιβεβαίωση γίνεται στη συσκευή και η εμφανιζόμενη διεύθυνση δεν μπορεί να τροποποιηθεί από το πρόγραμμα περιήγησης ή τον ιστό.

Πραγματικός αντίκτυπος μέχρι στιγμής

Παρά το μέγεθος της έκθεσης, τα χρήματα που διακινήθηκαν από τους επιτιθέμενους θα ήταν πολύ μικρό (δεκάδες έως μερικές εκατοντάδες δολάρια), σύμφωνα με διάφορα ίχνη αλυσίδας που δημοσιοποιήθηκαν από ερευνητές. Αρκετοί προμηθευτές προειδοποίησαν αμέσως και το μητρώο απενεργοποίησε τις παραβιασμένες αναρτήσεις μέσα σε λίγες ώρες.

Ομάδες κρυπτονομισμάτων και υπηρεσιών όπως Ledger, Trezor, MetaMask, Phantom ή Uniswap Ανέφεραν ότι δεν επηρεάζονται από τις τροποποιημένες εκδόσεις ούτε προστατεύονται από πολυεπίπεδες άμυνες. Ωστόσο, συνιστούν την προσεκτική αναθεώρηση κάθε συναλλαγής που υπογράφεται και τη διατήρηση καλών πρακτικών επαλήθευσης.

Η προειδοποίηση για τους προγραμματιστές είναι σαφής: εάν ένα έργο ενημερωμένες εξαρτήσεις κατά τη διάρκεια του παραθύρου υποβολής, είναι καλή ιδέα να ελέγξετε ολόκληρο το δέντρο και να το ανακατασκευάσετε με καθαρές εκδόσεις, ακόμα κι αν η εφαρμογή δεν χειρίζεται απευθείας κρυπτονομίσματα.

Τι πρέπει να κάνουν οι προγραμματιστές και οι ομάδες

Πέρα από την άμεση αποκατάσταση, οι οργανισμοί θα πρέπει να υιοθετήσουν έλεγχοι της εφοδιαστικής αλυσίδας για τη μείωση της επιφάνειας επίθεσης σε περιβάλλοντα JavaScript και Node.js. Τα μέτρα προτεραιότητας περιλαμβάνουν:

  • Καρφίτσωμα εκδόσεων και χρήση κλειδωμένων αρχείων· απενεργοποίηση αυτόματων ενημερώσεων στην παραγωγή.
  • Επαληθεύστε τις υπογραφές, τα αθροίσματα ελέγχου και την προέλευση· εφαρμόστε πολιτικές ελέγχου πριν από τη δημοσίευση.
  • Ενεργοποιήστε το 2FA με κλειδιά ασφαλείας FIDO και εναλλαγή συμβόλων και μυστικών εκτεθειμένος.
  • Ενσωματώστε σαρωτές εξαρτήσεων και SBOM· παρακολουθήστε για μη αναμενόμενες αλλαγές σε κρίσιμα πακέτα.
  • Αναπαράγετε καθαρές εκδόσεις και επαναφέρετε γρήγορα τα δεδομένα σας σε περίπτωση που υπάρχουν ενδείξεις παραβίασης.

Για τους τελικούς χρήστες, οι συμβουλές περνούν από ελέγξτε τη διεύθυνση και το ποσό στη συσκευή Πριν από την υπογραφή, να είστε επιφυλακτικοί με τα μη αναμενόμενα αναδυόμενα παράθυρα και τις λειτουργίες που θέτουν σε παύση, εάν εντοπίσετε παράξενη συμπεριφορά σε συνηθισμένους ιστότοπους ή εφαρμογές dApps.

Χρονολόγιο και πρωταγωνιστές

Η κοινότητα εντόπισε την καμπάνια στην αρχή της εβδομάδας, οπότε και στοιχεία στον τομέα, όπως Τεχνικός Διευθυντής Ledger, Charles Guillemet, Charles Guillemet, προειδοποίησε για τον κίνδυνο διείσδυσης αυτών των βιβλιοθηκών σε σχεδόν οποιαδήποτε στοίβα JavaScript. Λίγες ώρες αργότερα, ομάδες όπως η Blockaid και η Aikido κοινοποίησαν λίστες με αναλυμένα πακέτα και αντικείμενα.

Ο διαχειριστής που συνδέεται με τον παραβιασμένο λογαριασμό επιβεβαίωσε στα μέσα κοινωνικής δικτύωσης ότι έπεσε θύμα... μια απάτη επαναφοράς 2FA και ζήτησε συγγνώμη ενώ παράλληλα συνεργάστηκε με το npm για την αφαίρεση των κακόβουλων αναρτήσεων. Ο πάροχος μητρώου ανέφερε ότι συνεργάζεται με ερευνητές για να κλείσει εκκρεμότητες και να ενισχύσει τους ελέγχους.

Αν και όλα δείχνουν περιορισμένη οικονομική ζημίαΤο επεισόδιο καθιστά σαφές ότι η ασφάλεια του οικοσυστήματος JavaScript εξαρτάται από την προστασία των ταυτοτήτων των διαχειριστών, την ενίσχυση των εκδόσεων πακέτων και την υπόθεση ότι οι εξαρτήσεις αποτελούν κρίσιμο κρίκο. Η ενίσχυση αυτών των σημείων μειώνει την πιθανότητα ένα παρόμοιο περιστατικό να ανοίξει ξανά πόρτες σε εισβολείς.