Согласно новому исследованию компании по кибербезопасности Aikido Security, крупная атака на цепочку поставок JavaScript скомпрометировала сотни пакетов программного обеспечения, в том числе как минимум 10, широко используемых в криптоэкосистеме.

В сообщении в понедельник Чарли Эриксен, исследователь Aikido Security, поделился названиями более 400 пакетов, которые имеют признаки заражения самовоспроизводящимся вредоносным ПО «Shai Hulud», используемым в продолжающейся атаке на цепочку поставок библиотеки JavaScript NPM. Эриксен сказал, что он проверял каждое обнаружение, чтобы избежать ложных срабатываний.

Многие из задействованных пакетов, связанных с криптовалютой, получают десятки тысяч загрузок в неделю и имеют множество других пакетов, которые требуют их функционирования. В сообщении X, опубликованном ранее сегодня, Эриксен также предупредил команду Ethereum Name Service (ENS), что затронуты несколько их пакетов.

Источник: Чарли Эриксен

Шай Хулуд является частью более широкой тенденции атак на цепочку поставок. В начале сентября в результате крупнейшей на сегодняшний день атаки NPM хакеры украли криптовалюту всего на 50 миллионов долларов. Amazon Web Services отметила, что за этой первой атакой всего неделю спустя червь Shai-Hulud начал распространяться автономно.

В то время как предыдущая атака была направлена ​​непосредственно на криптовалюту с целью кражи активов, Shai-Hulud представляет собой вредоносное ПО общего назначения, крадущее учетные данные, которое автономно распространяется по инфраструктуре разработчиков. Если зараженная среда содержит ключи кошелька, вредоносное ПО украдет их как «секреты», как и любые другие учетные данные.

Связанный: Неудачный эксплойт NPM подчеркивает надвигающуюся угрозу криптобезопасности: исполнительный директор

Какие криптопакеты затронуты?

Среди всех затронутых пакетов по крайней мере 10 были конкретно связаны с индустрией криптовалют, и почти все были связаны с ENS, службой удобочитаемых адресных имен. Среди затронутых пакетов — Content-Hash компании ENS, который загружается почти 36 000 раз в неделю, и 91 программный пакет, зависящий от него, а также кодировщик адресов, который загружается более 37 500 раз в неделю.

Другие затронутые пакеты ENS включают ensjs (более 30 000 загрузок в неделю), ens-validation (1750 загрузок в неделю), Ethereum-ens (12 650 загрузок в неделю) и ens-contracts (около 3100 загрузок в неделю). Пакет, связанный с криптовалютой и не связанный с ENS, под названием crypto-addr-codec, также был скомпрометирован и его загрузили почти 35 000 раз.

Связанный: 27 миллионов долларов ушли, приватные ключи не раскрыты: как произошел взлом BigONE

Затронуты популярные некриптопакеты

Затронутые пакеты, не связанные с криптовалютой, включают некоторые, предлагаемые корпоративной платформой автоматизации Zapier, в том числе пакет с более чем 40 000 загрузок в неделю, и многие из них не сильно отстают. В последующем сообщении Эриксен указал на другие зараженные пакеты, некоторые из которых еженедельно загружались почти 70 000 раз, а также на другой пакет, который загружали более 1,5 миллионов раз в неделю.

«Масштаб этой новой атаки на Шай Хулуд откровенно огромен; мы все еще прорабатываем очередь, чтобы подтвердить все это», — написал Эриксен на X.

«По сравнению с предыдущей атакой предыдущая атака будет выглядеть ничем».

Исследователи из компании Wiz, занимающейся кибербезопасностью, утверждают, что «обнаружили более 25 000 затронутых репозиториев примерно у 350 уникальных пользователей, 1000 новых репозиториев постоянно добавляются каждые 30 минут в течение последних нескольких часов». Компания рекомендует «немедленное расследование и исправление» для любой среды, использующей npm.

Журнал: ‘Помощь! Мой робот-пылесос крадет мой биткойн: когда умные устройства атакуют