周一,一封网络钓鱼电子邮件将恶意代码推送到每周下载数十亿次的软件包中,导致 Node.js 最活跃的开发人员之一宕机,研究人员称这是近年来最大规模的软件供应链攻击。
虽然攻击范围巨大,但安全联盟在一份声明中表示 周二报告 攻击者几乎只损失了几分钱。然而,安全团队现在面临着更新后端系统以抵御进一步攻击的巨大成本。
非常受欢迎的维护者,其工作 (例如 chalk 和 debug-js) 每周下载量达数十亿次的npmjs开发工具“qix”负责chalk和debug-js等库,上周在收到来自support@npmjs[.]help的邮件后遭到入侵。该域名曾指向一台俄罗斯服务器,并被重定向到托管在内容分发网络BunnyCDN上的一个伪造的双因素身份验证页面。
凭证窃取程序会窃取用户名、密码和 2FA 代码,然后将其发送到远程主机。攻击者获得完全访问权限后,会重新发布每个 qix 包,并添加以加密为重点的有效载荷。
Node 包管理器(缩写为 npm,不是 NPM ) 就像是开发者的应用商店,程序员可以在这里下载代码块 (称为包) 而不是从头开始编写所有内容。维护者是创建和更新这些软件包的个人或实体。
袭击是如何发生的
注入的代码很简单。它检查 window.ethereum 是否存在,如果存在,就挂载到以太坊的核心交易函数中。对 approve、permit、transfer 或 transferFrom 的调用会被悄悄地重定向到一个钱包地址“0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976”。
任何有价值但没有数据的以太坊交易也被重定向。对于 Solana 来说,恶意软件用以“1911…”开头的无效字符串覆盖了收件人,从而彻底中断了转账。
网络请求也被拦截。
通过劫持 fetch 和 XMLHttpRequest,恶意软件扫描 JSON 响应以查找类似于钱包地址的子字符串,并将其替换为 280 个硬编码替代方案之一,以使其看起来具有欺骗性。
袭击的影响
但对于所有分布而言,影响微乎其微。
安全联盟报告称,链上数据显示,攻击者仅收到约 5 美分的以太币和价值约 20 美元的非流动性 memecoin,交易量不到 600 美元。
流行的浏览器钱包 MetaMask 也 在 X 上说 由于该钱包锁定了代码版本,使用手动和自动检查,并分阶段发布更新,因此它并未受到 npm 供应链攻击的影响。此外,它还采用了“LavaMoat”(即使恶意代码被插入也能拦截)和“Blockaid”(快速标记受感染钱包地址)技术,以有效阻止此类攻击。
同时, Ledger 首席技术官 Charles Guillemet 警告 该恶意代码已被放入下载量超过十亿次的软件包中,旨在悄悄替换交易中的钱包地址。
此次袭击是继另一起袭击之后 ReversingLabs 上周标记的案例 其中 npm 包使用以太坊智能合约来隐藏恶意软件链接——一种将命令和控制流量伪装成普通区块链调用的技术。
微信里点“发现”,扫一下二维码便可将本篇文章分享至朋友圈
发布者:币下载 转转请注明出处:https://www.paipaipay.cn/318549.html
