Hackingudnyttelse af JavaScript-kode
En storstilet hackingudnyttelse, der målrettede JavaScript-kode med malware og vækkede alarm tidligere på ugen, har formået at stjæle kun $1.043 i kryptovaluta, ifølge data fra Arkham Intelligence.
Analyse af angrebet
Cybersikkerhedsforskere hos Wiz offentliggjorde en analyse af et “udbredt” forsyningskædeangreb, hvor de i et blogindlæg skrev, at kriminelle aktører brugte social engineering til at få kontrol over en GitHub-konto tilhørende Qix (Josh Junon), en udvikler af populære kodepakker til JavaScript.
Hackerne offentliggjorde opdateringer for nogle af disse pakker, hvor de tilføjede ondsindet kode, der aktiverede API’er og kryptovaluta-tegnebogsgrænseflader samt scannede efter kryptovaluta-transaktioner for at omskrive modtageradresser og andre transaktionsdata.
Omfanget af angrebet
Alarmerende konkluderer Wiz’s forskere, at 10% af cloud-miljøer indeholder en eller anden form for den ondsindede kode, og at 99% af alle cloud-miljøer bruger nogle af de pakker, der blev målrettet af hackerne. Dog ville ikke alle disse cloud-miljøer have downloadet de inficerede opdateringer.
På trods af den potentielle skala af udnyttelsen antyder de seneste data fra Arkham, at trusselaktørens tegnebøger indtil videre har modtaget det relativt beskedne beløb på $1.043. Dette beløb er vokset gradvist i de seneste dage og omfatter overførsler hovedsageligt af ERC-20 tokens, med individuelle transaktioner værd mellem $1,29 og $436.
Udvidelse af angrebet
Den samme udnyttelse har også udvidet sig ud over Qix’s npm-pakker, med en opdatering fra JFrog Security, der afslørede, at DuckDB SQL database management systemet er blevet kompromitteret. Denne opdatering antydede også, at udnyttelsen “ser ud til at være den største npm-kompromittering i historien,” hvilket fremhæver den alarmerende skala og omfang af angrebet.
Fremtidige trusler
“Angribere har indset, at kompromittering af en enkelt pakke eller afhængighed kan give dem adgang til tusindvis af miljøer på én gang,” sagde Wiz Research-forskere til Decrypt.
Faktisk har de seneste måneder været vidne til adskillige lignende hændelser, herunder indsættelse af ondsindede pull requests i Ethereums ETHcode-udvidelse i juli, som fik over 6.000 downloads.
“npm-økosystemet har især været et hyppigt mål på grund af dets popularitet og den måde, udviklere er afhængige af transitive afhængigheder,” sagde Wiz Research.
Behov for beskyttelse
Ifølge Wiz forstærker den seneste hændelse behovet for at beskytte udviklingspipeline, med organisationer opfordret til at opretholde synlighed på tværs af hele softwareforsyningskæden, mens de også overvåger for anomaløs pakkeadfærd.
Dette ser ud til at være, hvad mange organisationer og enheder gjorde i tilfælde af Qix-udnyttelsen, som blev opdaget inden for to timer efter offentliggørelsen. Hurtig opdagelse var en af de vigtigste grunde til, at udnyttelsens økonomiske skade forbliver begrænset.
“Payloaden var snævert designet til at målrette brugere med specifikke betingelser, hvilket sandsynligvis reducerede dens rækkevidde,” sagde de.
Udviklere er også mere opmærksomme på sådanne trusler, tilføjer Wiz’s forskere, idet mange har beskyttelser på plads for at fange mistænkelig aktivitet, før det resulterer i alvorlig skade.
“Det er altid muligt, at vi vil se forsinkede rapporter om indvirkning, men baseret på hvad vi ved i dag, ser det ud til, at den hurtige opdagelse og nedtagning af indsatsen har begrænset angriberens succes.”
