Laajamittainen hakkerointi JavaScript-koodiin
Laajamittainen hakkerointi, joka kohdistui JavaScript-koodiin ja sisälsi haittaohjelmia, herätti hälytyksiä aiemmin tällä viikolla. Arkham Intelligence -yhtiön tietojen mukaan hyökkäys onnistui varastamaan vain 1 043 dollaria kryptovaluutassa.
Hyökkäyksen yksityiskohdat
Kyberturvallisuustutkijat Wiz julkaisi analyysin ”laajalle levinneestä” toimitusketjun hyökkäyksestä eilen. Blogikirjoituksessa kerrotaan, että pahantahtoiset toimijat käyttivät sosiaalista manipulointia saadakseen hallintaansa GitHub-tilin, joka kuului Qix:lle (Josh Junon), suositun JavaScript-koodipaketin kehittäjälle.
”Hyökkääjät ovat ymmärtäneet, että yhden paketin tai riippuvuuden vaarantaminen voi antaa heille pääsyn tuhansiin ympäristöihin kerralla.”
Hakkerit julkaisivat päivityksiä joihinkin näistä paketeista, lisäten haitallista koodia, joka aktivoi API:ita ja kryptolompakkoliittymiä sekä skannaa kryptovaluuttatransaktioita muuttaakseen vastaanottajien osoitteita ja muita transaktiotietoja.
Huolestuttavat tilastot
Huolestuttavaa on, että Wiz:n tutkijat toteavat, että 10 % pilviympäristöistä sisältää jonkinlaista haitallista koodia ja että 99 % kaikista pilviympäristöistä käyttää joitakin hakkerien kohdistamia paketteja. On kuitenkin tärkeää huomata, että kaikki nämä pilviympäristöt eivät olisi ladanneet tartunnan saaneita päivityksiä.
Huolimatta hyökkäyksen mahdollisesta laajuudesta, Arkhamin viimeisimmät tiedot viittaavat siihen, että uhkaajan lompakot ovat toistaiseksi saaneet suhteellisen vaatimattoman summan, 1 043 dollaria. Tämä summa on kasvanut hyvin vähitellen viime päivinä, ja se sisältää siirtoja pääasiassa ERC-20-tokeneista, yksittäisten transaktioiden arvon vaihdellessa 1,29 ja 436 dollarin välillä.
Hyökkäyksen laajeneminen
Sama hyökkäys on laajentunut Qix:n npm-pakettien ulkopuolelle, ja eilen JFrog Securityn julkaisema päivitys paljasti, että DuckDB SQL -tietokannan hallintajärjestelmä on joutunut hyökkäyksen kohteeksi. Tämä päivitys viittasi myös siihen, että hyökkäys ”näyttää olevan suurin npm-kompromissi historiassa”, korostaen hyökkäyksen huolestuttavaa laajuutta ja mittakaavaa.
Ohjelmistotoimitusketjun hyökkäykset
Tällaiset ohjelmistotoimitusketjun hyökkäykset ovat yleistymässä, Wiz Researchin tutkijat kertoivat Decryptille. Viime kuukausina on tapahtunut lukuisia vastaavia tapauksia, mukaan lukien haitallisten pull-requestsien lisääminen Ethereumin ETHcode-laajennukseen heinäkuussa, joka keräsi yli 6 000 latausta.
”npm-ekosysteemi on erityisesti ollut usein kohteena sen suosion ja sen vuoksi, että kehittäjät luottavat siirtyviin riippuvuuksiin.”
Wiz:n mukaan viimeisin tapaus vahvistaa tarpeen suojata kehityspipelinea, ja organisaatioita kehotetaan ylläpitämään näkyvyyttä koko ohjelmistotoimitusketjussa samalla kun ne seuraavat poikkeavaa pakettikäyttäytymistä.
Nopea havaitseminen
Tämä näyttää olevan se, mitä monet organisaatiot ja tahot tekivät Qix-hyökkäyksen tapauksessa, joka havaittiin kahden tunnin kuluessa julkaisusta. Nopean havaitsemisen oli yksi pääsyistä siihen, miksi hyökkäyksen taloudellinen vahinko on pysynyt rajallisena.
”Kuormitus oli suunniteltu tarkasti kohdistumaan käyttäjiin, joilla oli erityisiä ehtoja, mikä todennäköisesti vähensi sen ulottuvuutta.”
Kehittäjät ovat myös tietoisempia tällaisista uhista, ja monet heistä ovat ottaneet käyttöön suojatoimia epäilyttävän toiminnan havaitsemiseksi ennen kuin se aiheuttaa vakavaa vahinkoa.
”On aina mahdollista, että näemme viivästyneitä raportteja vaikutuksista, mutta sen perusteella, mitä tiedämme tänään, nopea havaitseminen ja poistamisyritykset näyttävät rajoittaneen hyökkääjän menestystä.”
