JavaScript-toimitusketjun hyökkäys
Merkittävä JavaScript-toimitusketjun hyökkäys on vaarantanut satoja ohjelmistopaketteja, mukaan lukien vähintään kymmenen, joita käytetään laajasti kryptoeekosysteemissä. Aikido Securityn kyberturvayrityksen uusien tutkimusten mukaan maanantaina julkaistussa viestissä Aikido Securityn tutkija Charlie Eriksen jakoi yli 400 paketin nimet, jotka osoittavat merkkejä infektiosta ”Shai Hulud” -itseään monistavalla haittaohjelmalla.
Hyökkäyksen taustat
Eriksen vahvisti jokaisen havainnon välttääkseen vääriä positiivisia tuloksia. Monet mukana olevista kryptovaluuttoihin liittyvistä paketeista saavat kymmeniä tuhansia latauksia viikossa ja niillä on lukuisia muita paketteja, jotka vaativat niitä toimiakseen. X:ssä tänään julkaistussa viestissä Eriksen varoitti myös Ethereum Name Service (ENS) -tiimiä siitä, että useat heidän paketeistaan ovat vaarantuneet.
”Tämän uuden Shai Hulud -hyökkäyksen laajuus on rehellisesti sanottuna valtava; työskentelemme edelleen jonossa vahvistaaksemme kaiken”, Eriksen kirjoitti X:ssä. ”Se saa edellisen hyökkäyksen näyttämään mitättömältä.”
Hyökkäyksen vaikutukset
Shai Hulud on osa laajempaa toimitusketjun hyökkäysilmiötä. Syyskuun alussa suurin tähän mennessä raportoitu NPM-hyökkäys johti hakkereiden varastamaan vain 50 miljoonaa dollaria kryptovaluuttoja. Amazon Web Services huomautti, että tätä ensimmäistä hyökkäystä seurasi Shai-Hulud-mato, joka levisi itsenäisesti vain viikkoa myöhemmin.
Vaikka edellinen hyökkäys kohdistui suoraan kryptovaluuttoihin varastamaan varoja, Shai Hulud on yleiskäyttöinen tunnistetietojen varastava haittaohjelma, joka leviää itsenäisesti kehittäjäinfrastruktuurissa. Jos tartunnan saanut ympäristö sisältää lompakkovaroja, haittaohjelma varastaa ne ”salaisuuksina” kuten muutkin tunnistetiedot.
Vaarantuneet paketit
Kaikista vaarantuneista paketeista ainakin kymmenen liittyi erityisesti kryptovaluuttateollisuuteen, ja lähes kaikki olivat sidoksissa ENS:ään, ihmislukuisen osoitteen nimeämispalveluun. Vaarantuneiden pakettien joukossa ovat:
- ENS:n sisältöhajautus, jolla on lähes 36 000 viikkolatausta ja 91 ohjelmistopakettia, jotka riippuvat siitä
- Osoitekooderi, jolla on yli 37 500 viikkolatausta
- Muuta ENS-pakettia, kuten ensjs (yli 30 000 viikkolatausta), ens-validation (1 750 viikkolatausta), ethereum-ens (12 650 viikkolatausta) ja ens-contracts (lähes 3 100 viikkolatausta)
- Kryptovaluuttaan liittyvä paketti, nimeltään crypto-addr-codec, on myös vaarantunut, ja sillä on lähes 35 000 latausta
Suositut ei-krypto paketit, jotka ovat vaarantuneet, sisältävät joitakin, joita tarjoaa yritysautomaatioalusta Zapier, mukaan lukien yksi, jolla on yli 40 000 latausta viikossa ja monia, jotka eivät jää kauas taakse.
Suositukset
Kyberturvayritys Wiz:n tutkijat väittävät havainneensa ”yli 25 000 vaarantunutta varastoa” noin 350 ainutlaatuiselta käyttäjältä, 1 000 uutta varastoa lisätään jatkuvasti joka 30. minuutti viimeisten parin tunnin aikana. Yritys suosittelee ”välitöntä tutkimusta ja korjaamista” kaikille ympäristöille, jotka käyttävät npm:ää.
