JavaScript-forsyningskædeangreb
Et stort JavaScript-forsyningskædeangreb har kompromitteret hundreder af softwarepakker, herunder mindst 10, der anvendes bredt i kryptovalutaøkosystemet, ifølge ny forskning fra cybersikkerhedsfirmaet Aikido Security. I et indlæg mandag delte Charlie Eriksen, en forsker hos Aikido Security, navnene på over 400 pakker, der viser tegn på infektion med malware kaldet “Shai Hulud”, som er selvreplikerende og bruges i et igangværende JavaScript NPM-biblioteksforsyningskædeangreb.
Infektion og konsekvenser
Eriksen sagde, at han validerede hver detektion for at undgå falske positiver. Mange af de involverede kryptovaluta-relaterede pakker modtager titusinder af downloads om ugen og har adskillige andre pakker, der kræver dem for at fungere. I et X-indlæg offentliggjort tidligere i dag advarede Eriksen også Ethereum Name Service (ENS)-teamet om, at flere af deres pakker er berørt.
“Omfanget af dette nye Shai Hulud-angreb er ærligt talt massivt; vi arbejder stadig igennem køen for at bekræfte det hele,” skrev Eriksen på X. “Det vil få det tidligere angreb til at se ud som ingenting.”
Shai Hulud er en del af en bredere tendens inden for forsyningskædeangreb. I begyndelsen af september så det største NPM-angreb til dato, at hackere stjal $50 millioner i kryptovaluta. Amazon Web Services bemærkede, at dette første angreb blev efterfulgt af Shai Hulud-ormen, der spredte sig autonomt blot en uge senere. Mens det tidligere angreb direkte målrettede kryptovaluta for at stjæle aktiver, er Shai Hulud en generel credential-stealing malware, der spreder sig autonomt på udviklerinfrastruktur. Hvis det inficerede miljø indeholder wallet-nøgler, vil malware stjæle dem som “hemmeligheder”, ligesom enhver anden credential.
Berørte kryptopakker
Blandt alle de berørte pakker var mindst 10 specifikt relateret til kryptovalutaindustrien, og næsten alle var knyttet til ENS, en menneskelig læsbar adresse-navneservice. Blandt de berørte pakker er ENS’s content-hash, som har næsten 36.000 ugentlige downloads, og 91 softwarepakker, der afhænger af den, samt address-encoder, som har over 37.500 ugentlige downloads.
Andre ENS-pakker, der er berørt, inkluderer:
- ensjs (over 30.000 ugentlige downloads)
- ens-validation (1.750 ugentlige downloads)
- ethereum-ens (12.650 ugentlige downloads)
- ens-contracts (næsten 3.100 ugentlige downloads)
En kryptovaluta-relateret pakke, der ikke er relateret til ENS, kaldet crypto-addr-codec, blev også kompromitteret med næsten 35.000 downloads. Populære ikke-krypto pakker, der er berørt, inkluderer nogle, der tilbydes af den virksomhedsmæssige automatiseringsplatform Zapier, herunder en med over 40.000 downloads om ugen og mange ikke langt bagefter.
Fremtidige implikationer
Forskere fra cybersikkerhedsfirmaet Wiz hævder at have set over 25.000 berørte repositories på cirka 350 unikke brugere, og 1.000 nye repositories bliver konstant tilføjet hver 30. minut i de sidste par timer. Virksomheden anbefaler “øjeblikkelig undersøgelse og afhjælpning” for ethvert miljø, der bruger npm.
