Hackingutnyttelse av JavaScript-kode
En storstilt hackingutnyttelse som retter seg mot JavaScript-kode med skadelig programvare, og som utløste alarm tidligere denne uken, har klart å stjele kun $1,043 i kryptovaluta, ifølge data fra Arkham Intelligence.
Angrepet på forsyningskjeden
Cybersikkerhetsforskere hos Wiz publiserte en analyse av et «omfattende» angrep på forsyningskjeden i går. De skrev i et blogginnlegg at kriminelle aktører brukte sosial manipulering for å få kontroll over en GitHub-konto tilhørende Qix (Josh Junon), en utvikler av populære kodepakker for JavaScript.
Hackerne publiserte oppdateringer for noen av disse pakkene og la til skadelig kode som ville aktivere API-er og kryptovaluta-lommebokgrensesnitt, samt skanne etter kryptovalutatransaksjoner for å omskrive mottakeradresser og annen transaksjonsdata.
Omfanget av angrepet
Alarmerende konkluderer Wiz-forskerne med at 10 % av sky-miljøene inneholder en eller annen form for den skadelige koden, og at 99 % av alle sky-miljøer bruker noen av pakkene som hackerne har rettet seg mot. Til tross for den potensielle skalaen av utnyttelsen, antyder de nyeste dataene fra Arkham at trusselaktørens lommebøker så langt har mottatt det relativt beskjedne beløpet på $1,043.
Dette har vokst svært gradvis de siste par dagene og omfatter overføringer hovedsakelig av ERC-20-tokens, med individuelle transaksjoner verdt alt fra $1,29 til $436.
Utvidelse av utnyttelsen
Den samme utnyttelsen har også utvidet seg utover Qix sine npm-pakker, med en oppdatering i går fra JFrog Security som avslørte at DuckDB SQL-databasehåndteringssystemet har blitt kompromittert. Denne oppdateringen antydet også at utnyttelsen «ser ut til å være den største npm-kompromitteringen i historien,» noe som fremhever den alarmerende skalaen og omfanget av angrepet.
Økende trussel
Slike angrep på programvareforsyningskjeden blir stadig vanligere, fortalte Wiz Research-forskere til Decrypt.
«Angripere har innsett at å kompromittere en enkelt pakke eller avhengighet kan gi dem rekkevidde til tusenvis av miljøer samtidig,»
sa de.
«Det er derfor vi har sett en jevn økning i disse hendelsene, fra typosquatting til ondsinnede pakkeovertakelser.»
Faktisk har de siste månedene vært vitne til mange lignende hendelser, inkludert innsetting av ondsinnede pull-forespørsel i Ethereums ETHcode-utvidelse i juli, som fikk over 6,000 nedlastinger.
Beskyttelse av utviklingspipen
Ifølge Wiz forsterker den nyeste hendelsen behovet for å beskytte utviklingspipen, med organisasjoner oppfordret til å opprettholde synlighet over hele programvareforsyningskjeden, samtidig som de overvåker for unormal pakkeatferd. Dette ser ut til å være hva mange organisasjoner og enheter gjorde i tilfelle Qix-utnyttelsen, som ble oppdaget innen to timer etter publisering.
Rask oppdagelse var en av hovedgrunnene til at den økonomiske skaden fra utnyttelsen forblir begrenset, men Wiz Research antyder at det var andre faktorer i spill.
«Payloaden var smalt designet for å målrette brukere med spesifikke forhold, noe som sannsynligvis reduserte rekkevidden,»
sa de.
Utviklere er også mer bevisste på slike trusler, legger Wiz-forskerne til, med mange som har beskyttelser på plass for å fange mistenkelig aktivitet før det resulterer i alvorlig skade.
«Det er alltid mulig at vi vil se forsinkede rapporter om påvirkning, men basert på det vi vet i dag,»
sa de,
«ser det ut til at rask oppdagelse og nedleggelsesinnsats har begrenset angriperens suksess.»
