JavaScript-forsyningskjedeangrep
Et stort JavaScript-forsyningskjedeangrep har kompromittert hundrevis av programvarepakker, inkludert minst ti som er mye brukt i kryptovalutaøkosystemet, ifølge ny forskning fra cybersikkerhetsfirmaet Aikido Security. I et innlegg på mandag delte Charlie Eriksen, en forsker ved Aikido Security, navnene på over 400 pakker som viser tegn på infeksjon med den selvreplikerende malware «Shai Hulud», som brukes i et pågående JavaScript NPM-bibliotek-forsyningskjedeangrep.
Infeksjon og konsekvenser
Eriksen sa at han hadde validert hver deteksjon for å unngå falske positiver. Mange av de kryptovaluta-relaterte pakkene som er involvert, får titusenvis av nedlastinger per uke og har mange andre pakker som kreves for at de skal fungere. I et innlegg på X publisert tidligere i dag, advarte Eriksen også Ethereum Name Service (ENS)-teamet om at flere av deres pakker er berørt.
Shai Hulud er en del av en bredere trend innen forsyningskjedeangrep. Tidlig i september ble det rapportert om det største NPM-angrepet til dags dato, der hackere stjal 50 millioner dollar i kryptovaluta. Amazon Web Services bemerket at dette første angrepet ble etterfulgt av Shai Hulud-ormen, som spredte seg autonomt bare en uke senere.
Mens det forrige angrepet direkte målrettet kryptovaluta for å stjele eiendeler, er Shai Hulud en generell credential-stealing malware som sprer seg autonomt over utviklerinfrastruktur. Hvis det infiserte miljøet inneholder lommeboknøkler, vil malware stjele dem som «hemmeligheter», akkurat som enhver annen legitimasjon.
Berørte kryptopakker
Blant alle de berørte pakkene var minst ti spesifikt relatert til kryptovalutaindustrien, og nesten alle var knyttet til ENS, en menneskelig lesbar adresse-navnetjeneste. Blant de berørte pakkene er ENSs innholdshash, med nesten 36 000 ukentlige nedlastinger, og 91 programvarepakker som avhenger av den, samt adresse-encoder, med over 37 500 ukentlige nedlastinger.
Andre ENS-pakker som er berørt inkluderer:
- ensjs (over 30 000 ukentlige nedlastinger)
- ens-validation (1 750 ukentlige nedlastinger)
- ethereum-ens (12 650 ukentlige nedlastinger)
- ens-contracts (nesten 3 100 ukentlige nedlastinger)
En kryptovaluta-relatert pakke som ikke er relatert til ENS, kalt crypto-addr-codec, ble også kompromittert, med nesten 35 000 nedlastinger.
Berørte ikke-krypto pakker
Ikke-krypto-relaterte pakker som er berørt inkluderer noen tilbudt av bedriftsautomatiseringsplattformen Zapier, inkludert en med over 40 000 nedlastinger per uke og mange andre som ligger nært bak. I et påfølgende innlegg pekte Eriksen på andre pakker som var infisert, noen med nesten 70 000 ukentlige nedlastinger, og til en annen pakke som hadde godt over 1,5 millioner ukentlige nedlastinger.
«Omfanget av dette nye Shai Hulud-angrepet er ærlig talt massivt; vi jobber fortsatt gjennom køen for å bekrefte alt,» skrev Eriksen på X. «Det vil få det forrige angrepet til å se ut som ingenting.»
Forskere ved cybersikkerhetsfirmaet Wiz hevder å ha «sett over 25 000 berørte depot over ~350 unike brukere, med 1 000 nye depot som konsekvent blir lagt til hvert 30. minutt de siste par timene.» Selskapet anbefaler «umiddelbar undersøkelse og utbedring» for ethvert miljø som bruker npm.
