NPM-advarsel: Nøgle-JavaScript-biblioteker kompromitteret

  • En phishing-kampagne tillod publicering af skadelige versioner på NPM, og kompromittering af kerne-JavaScript-biblioteker.
  • Malwaren fungerede som en kryptoklipper, der erstattede adresser under transaktionssignering.
  • Lav økonomisk påvirkning og hurtig afbødning; flere udbydere og tegnebøger blev ikke påvirket.
  • Anbefalinger: Revider afhængigheder, ret versioner, håndhæv 2FA og verificer transaktioner på hardware-wallets.
Creativos Online

5 minutter

Illustration om JavaScript

Det tekniske fællesskab undersøger et angreb på NPM's forsyningskæde der har målrettet udbredte JavaScript-biblioteker. Ifølge flere sikkerhedsteams sneg angribere malware med kryptoklipperfunktionalitet ind i bredt distribuerede pakker med potentiale til at ændre transaktioner og omdirigere kryptovalutaer.

Selvom det potentielle omfang er enormt pga. Populariteten af ​​disse afhængigheder i JavaScript-økosystemetIndledende analyser peger på en begrænset økonomisk indvirkning: små beløb, under et par hundrede dollars, blev angiveligt flyttet, mens leverandører og registret handlede for at fjerne manipulerede versioner.

Hvordan indbruddet blev begået

Indtrængen begyndte med Phishing-e-mails imiterer officiel npm-support, der kræver, at pakkeadministratorer opdaterer deres tofaktorgodkendelse hurtigst muligt. Et falsk websted fik adgang til legitimationsoplysninger og kode, hvilket gjorde det muligt for angribere at tage kontrol over en konto med omfattende tilladelser (forbundet i fællesskabet med aliaset "Qix") og udgive forfalskede versioner af forskellige anvendelser.

svg malware
relateret artikel:
Cyber ​​​​angribere bruger SVG-filer til at inficere med malware

Forskere som Aikido Security og JDSTAERK-kollektivet beskriver en kampagne, der er i stand til at ændre indhold på websteder, opfange API-kald og ændre, hvad brugeren tror, ​​de underskriver., hvilket øger risikoen for webtjenester, der integrerer disse biblioteker gennem dybe afhængighedskæder.

JavaScript-pakkeøkosystem

Berørte pakker og omfang

Det berørte hul meget basale værktøjer, der findes i mange projekter, så selv computere, der ikke installerer dem direkte, kan være blevet eksponeret via transitive afhængigheder. Blandt de navne, der nævnes af sikkerhedsfirmaer og udviklere, er:

  • kridt, kridtskabelon, strimmel-ansi, skive-ansi, indpakning-ansi, støtter-farve
  • farve-konverter, farve-navn, farve-streng
  • ansi-regex, ansi-stile, har-ansi
  • debug, error-ex, is-arrayish, simple-swizzle
  • understøtter-hyperlinks, omvendt skråstreg, proto-tinker-wc

Disse softwarestykker akkumuleres Millioner af ugentlige downloads og over en milliard i historiske optegnelser, der fungerer som grundlæggende byggesten til moderne servere, kommandolinjeværktøjer og webapplikationer.

Sikkerhed i JavaScript

Hvordan malware fungerer

Den ondsindede kode fungerede som en kryptoklipperVed at detektere miljøer med software-wallets (f.eks. udvidelser som MetaMask), opsnappede den transaktionsdata lige før underskrivelse og erstattede destinationsadressen af en anden kontrolleret af angriberne.

Hvis den ikke identificerede en aktiv tegnebog, forsøgte implantatet en passiv udvinding af information til eksterne servere. I scenarier med aktive tegnebøger overvågede den, udover at manipulere API-kald, også udklipsholderen for at omskrive adresser kopieret af brugeren, et klassisk trick i denne type svindel.

Specialister påpeger, at de, der validér oplysningerne på en hardware-wallet på skærmen De har en fysisk barriere, der modvirker denne vektor: den endelige bekræftelse foretages på enheden, og den viste adresse kan ikke ændres af browseren eller internettet.

Reel effekt indtil videre

Trods omfanget af eksponeringen ville de penge, som angriberne flyttede, have været meget lille (ti til et par hundrede dollars), ifølge forskellige kædespor offentliggjort af forskere. Flere leverandører advarede straks og registreringsdatabasen deaktiverede de kompromitterede indlæg inden for et par timer.

Krypto-wallet og serviceteams såsom Ledger, Trezor, MetaMask, Phantom eller Uniswap De rapporterede, at de ikke var påvirket af de ændrede versioner eller var beskyttet af lagdelte forsvarsmekanismer. De anbefaler dog omhyggeligt at gennemgå hver underskrevet transaktion og opretholde god verifikationspraksis.

Advarslen til udviklere er klar: hvis et projekt opdaterede afhængigheder i løbet af commit-vinduet, er det en god idé at revidere hele træet og genopbygge med rene versioner, selvom applikationen ikke håndterer kryptovalutaer direkte.

Hvad udviklere og teams bør gøre

Ud over øjeblikkelig afhjælpning bør organisationer anvende forsyningskædekontroller at reducere angrebsfladen i JavaScript- og Node.js-miljøer. Prioriterede foranstaltninger omfatter:

  • Fastlåsning af versioner og brug af låsefiler; deaktivering af automatiske opdateringer i produktion.
  • Bekræft underskrifter, kontrolsummer og oprindelse; implementer politikker for gennemgang før udgivelse.
  • Aktivér 2FA med FIDO-sikkerhedsnøgler og roter tokens og hemmeligheder udsat.
  • Integrer afhængighedsscannere og SBOM'er; overvåg uventede ændringer i kritiske pakker.
  • Gengiv rene builds og rollback hurtigt ved tegn på kompromittering.

For slutbrugere går rådet igennem tjek adressen og beløbet på enheden Før du underskriver, skal du være opmærksom på uventede pop op-vinduer og sætte handlinger på pause, hvis du registrerer mærkelig adfærd på almindelige websteder eller dApps.

Kronologi og hovedpersoner

Lokalsamfundet opdagede kampagnen i begyndelsen af ​​ugen, hvor personer i sektoren, som f.eks. Ledger CTO Charles Guillemet, advarede om risikoen for, at disse biblioteker trænger ind i næsten enhver JavaScript-stak. Få timer senere delte teams som Blockaid og Aikido lister over analyserede pakker og artefakter.

Vedligeholderen af ​​den kompromitterede konto bekræftede på sociale medier, at han var offer for en 2FA-nulstillingssvindel og undskyldte, mens de koordinerede med npm for at fjerne de ondsindede opslag. Registerudbyderen angav, at de arbejder sammen med forskere for at lukke løse ender og styrke kontrollen.

Selvom alt peger på begrænset økonomisk skadeEpisoden gør det klart, at sikkerheden i JavaScript-økosystemet afhænger af at beskytte vedligeholderidentiteter, styrke pakkeudgivelser og antage, at afhængigheder er et kritisk led; at styrke disse punkter reducerer sandsynligheden for, at en lignende hændelse åbner døre for angribere igen.