- Автор темы
- #1
Самая крупная атака за всю историю экосистемы npm затронула примерно 10% облачных сред. Однако специалисты пришли к выводу, что злоумышленники не сумели «заработать» на этом взломе практически ничего.
Атака произошла в начале текущей недели и затронула около 20 популярнейших пакетов npm, которые суммарно насчитывают более 2,6 миллиарда еженедельных загрузок (включая такие библиотеки, как chalk, debug и ansi-styles).
Взлом начался с того, что в ходе фишинговой атаки хакеры скомпрометировали учетные данные мейнтейнера и разработчика Джоша Джунона (Josh Junon), также известного под ником Qix. Получив доступ, атакующие обновили популярные пакеты, скрыв в них вредоносный код, который похищал криптовалюту, перенаправляя активы жертв на адреса самих злоумышленников.
Как мы уже отмечали ранее, сообщество быстро обнаружило атаку, и все вредоносные пакеты были удалены в течение нескольких часов.
Как теперь сообщают аналитики компании Wiz, хотя бы один или несколько скомпрометированных пакетов, которые являются фундаментом практически для любого JavaScript- и Node-проекта, использовались в 99% облачных сред.
За несколько часов, когда вредоносные версии пакетов были доступны для загрузки, их успели скачать примерно из 10% облачных сред. Стоит отметить, что это подсчеты основаны на данных их облачных сред клиентов Wiz, а также на информации из открытых источников.
Еще в начале недели исследователи предполагали, что атака пошла не совсем по плану, и хакеры практически ничего не «заработали». Так, согласно анализу организации Security Alliance, внедренный вредоносный код был нацелен на браузерную среду и перехватывал запросы на подписание Ethereum и Solana, подменяя адреса криптовалютных кошельков на адреса, контролируемые злоумышленниками.
Именно то, что атакующие отдали предпочтение банальному криптоджекингу, уберегло пострадавшие компании от более серьезных последствий. Ведь злоумышленники могли использовать полученный доступ для внедрения реверс-шеллов, бокового перемещения в сетях жертв или внедрения вымогательского и деструктивного ПО.
Как объясняли в Security Alliance, вредоносный код проверял наличие window.ethereum, а в случае обнаружения вмешивался в базовые функции транзакций Ethereum. Вызовы approve, permit, transfer и transferFrom незаметно перенаправлялись на кошелек 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976. Любые Ethereum-транзакции с указанной суммой, но без дополнительных данных, тоже подвергались редиректу. В случае с Solana вредонос подменял адреса получателей некорректной строкой, начинавшейся с «1911…», что полностью нарушало работу переводов.
Как отмечалось еще в день атаки, похоже, злоумышленники подставляли не свои криптовалютные кошельки, а адреса Uniswap и других swap-контрактов (вместо адресов реальных получателей). В итоге хакеры «заработали» от нескольких центов до 50 долларов, по оценкам исследователей.
По данным экспертов компании Socket, позже те же хакеры скомпрометировали аккаунт мейнтейнера DuckDB и пакеты проекта, внедрив в них тот же код для кражи криптовалюты.
Но и этот взлом принес атакующим, которые даже не изменили полезную нагрузку, лишь 429 долларов США в Ethereum, 46 долларов США в Solana и небольшие суммы в BTC, Tron, BCH и LTC на общую сумму 600 долларов США.
Атака произошла в начале текущей недели и затронула около 20 популярнейших пакетов npm, которые суммарно насчитывают более 2,6 миллиарда еженедельных загрузок (включая такие библиотеки, как chalk, debug и ansi-styles).
Взлом начался с того, что в ходе фишинговой атаки хакеры скомпрометировали учетные данные мейнтейнера и разработчика Джоша Джунона (Josh Junon), также известного под ником Qix. Получив доступ, атакующие обновили популярные пакеты, скрыв в них вредоносный код, который похищал криптовалюту, перенаправляя активы жертв на адреса самих злоумышленников.
Как мы уже отмечали ранее, сообщество быстро обнаружило атаку, и все вредоносные пакеты были удалены в течение нескольких часов.
Как теперь сообщают аналитики компании Wiz, хотя бы один или несколько скомпрометированных пакетов, которые являются фундаментом практически для любого JavaScript- и Node-проекта, использовались в 99% облачных сред.
За несколько часов, когда вредоносные версии пакетов были доступны для загрузки, их успели скачать примерно из 10% облачных сред. Стоит отметить, что это подсчеты основаны на данных их облачных сред клиентов Wiz, а также на информации из открытых источников.
Хотя эта атака вызвала заметные сбои, а на восстановление и аудит у компаний ушло немало времени, последствия для безопасности оказались незначительными, равно как и прибыль злоумышленников.
Еще в начале недели исследователи предполагали, что атака пошла не совсем по плану, и хакеры практически ничего не «заработали». Так, согласно анализу организации Security Alliance, внедренный вредоносный код был нацелен на браузерную среду и перехватывал запросы на подписание Ethereum и Solana, подменяя адреса криптовалютных кошельков на адреса, контролируемые злоумышленниками.
Именно то, что атакующие отдали предпочтение банальному криптоджекингу, уберегло пострадавшие компании от более серьезных последствий. Ведь злоумышленники могли использовать полученный доступ для внедрения реверс-шеллов, бокового перемещения в сетях жертв или внедрения вымогательского и деструктивного ПО.
Как объясняли в Security Alliance, вредоносный код проверял наличие window.ethereum, а в случае обнаружения вмешивался в базовые функции транзакций Ethereum. Вызовы approve, permit, transfer и transferFrom незаметно перенаправлялись на кошелек 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976. Любые Ethereum-транзакции с указанной суммой, но без дополнительных данных, тоже подвергались редиректу. В случае с Solana вредонос подменял адреса получателей некорректной строкой, начинавшейся с «1911…», что полностью нарушало работу переводов.
Как отмечалось еще в день атаки, похоже, злоумышленники подставляли не свои криптовалютные кошельки, а адреса Uniswap и других swap-контрактов (вместо адресов реальных получателей). В итоге хакеры «заработали» от нескольких центов до 50 долларов, по оценкам исследователей.
По данным экспертов компании Socket, позже те же хакеры скомпрометировали аккаунт мейнтейнера DuckDB и пакеты проекта, внедрив в них тот же код для кражи криптовалюты.
Но и этот взлом принес атакующим, которые даже не изменили полезную нагрузку, лишь 429 долларов США в Ethereum, 46 долларов США в Solana и небольшие суммы в BTC, Tron, BCH и LTC на общую сумму 600 долларов США.