- Pažeisti prižiūrėtojo prisijungimo duomenys leido kenkėjiškai atnaujinti plačiai naudojamus NPM paketus, o atsisiuntimų skaičius viršijo milijardą.
- Slapti naudingieji kroviniai naudojo daugiapakopius įkroviklius ir „Base64“ obfuskaciją, taikydamiesi į CI kanalus ir kūrėjų aplinkas.
- Poveikis apėmė tūkstančius tolesnių projektų, nors vagysčių grandinėje iki šiol, regis, buvo apribota iki mažiau nei 200 USD.
- Saugumo gairėse pabrėžiamas aiškus pasirašymas, aparatinės įrangos piniginės su saugiais ekranais ir griežtesnė NPM/CI kredencialų higiena.
Naujienos apie a didelio masto NPM tiekimo grandinės pažeidimas sukrėtė tiek kūrėjus, tiek kriptovaliutų naudotojus po to, kai, kaip pranešama, buvo užgrobta patikimo prižiūrėtojo paskyra, dėl kurios slapta pasiekiamos versijos pateko į „JavaScript“ ekosistemą. Vieši įspėjimai apie X rodė, kad paveikti paketai susikaupė per... milijardas atsisiuntimų per visą gyvenimą, padidinant statymus komandoms, kurios pasikliauja JS priklausomybėmis piniginėse, dApp'uose, SaaS platformose ir kūrimo kanaluose.
Ankstyvieji kalbų šaltiniai šį incidentą apibūdino kaip dar vieną klaidinančio rašybos pažeidimo pavyzdį, tačiau vėlesnė analizė rodo, kad tai labiau tikėtina. tikslinis prižiūrėtojo kredencialų kompromitavimas ir kenkėjiškų modulių publikavimą teisėtais pavadinimais. Nors iki šiol telemetrijos duomenys rodo ribotos vagystės grandinėje, poveikio mastas pabrėžia, kaip greitai atvirojo kodo tiekimo grandinės problemos gali išplisti į kriptovaliutų ir įmonių aplinką.
Kas atsitiko ir kodėl tai svarbu
Saugumo vadovai, įskaitant „Ledger“ technologijų direktorių Charlesą Guillemetą, perspėjo, kad kenkėjiškas kodas buvo sukurtas taip, kad... tyliai keiskitės kriptovaliutų piniginių adresais pasirašymo srautų metu, todėl, jei vartotojai nepastebėdavo keitimo, lėšos galėjo būti nukreiptos užpuolikams. Įspėjime buvo pabrėžta, kad bet koks dApp arba programinės įrangos piniginė, integruojanti pažeistus JS paketus gali būti paviešinti, net jei pati programa niekada tiesiogiai netvarkė raktų.
Guillemet taip pat pakartojo geriausią praktiką galutiniams vartotojams: venkite aklo pasirašymoir pirmenybę teikia aparatinės įrangos piniginėms su saugiais ekranais, palaikančiais „Clear Signing“, kad galutinis paskirties adresas būtų patvirtintas patikimame ekrane. Piniginės be saugaus ekrano arba „Clear Signing“ palaikymo yra padidinta rizika nes nėra patikimo būdo patvirtinti sandorio informaciją nuo pradžios iki galo.
Apimtis, išplitimas ir tikslai
Kampaniją stebėję tyrėjai pastebėjo, kad slapta pasiekiami atnaujinimai greitai plito visame priklausomybių grafike, liečiant įmonių SaaS, kūrėjų įrankius ir net švietimo projektus. Įvertinimai rodo, kad 4,500+ tolesnių projektų įsisavino bent vieną užkrėstą versiją, prieš tai, kai prižiūrėtojai atšaukė paveiktas versijas.
„Wiz.io“ komandos pažymėtos neįprasta tinklo veikla kilę iš CI kanalų netrukus po įprastų bibliotekos trikdžių – ankstyvas užuomina, kad gali būti susiję veiksmai po diegimo arba kūrimo metu. Užpuolikai rėmėsi kruopštus versijų kūrimas ir subtilūs pakeitimai kad įsilietų į įprastus išleidimo ciklus ir išvengtų pagrindinio anomalijų aptikimo suveikimo.
Kaip veikė kenkėjiška apkrova
Pranešama, kad kenkėjiškų programų grandinė rėmėsi a daugiapakopė infekcija strategija. Palankiai atrodantis žingsnis po įdiegimo iškvietė lengvą įkroviklį, kuris susisiekė su užpuoliko kontroliuojamais domenais, kad gautų antrojo etapo naudingąją apkrovą. Siekiant sumažinti aptikimo riziką, URL ir duomenų blokai buvo užmaskuoti (pvz., „Base64“) ir vykdymas buvo ribojamas sąlyginiais patikrinimais.
Užuot atvirai naikinus duomenis, antrasis etapas buvo atrinktas aplinkos kintamieji ir sistemos metaduomenys, paruošdamas atramos taškus ir įgalindamas tolesnius atsisiuntimus. Tyrėjai teigia, kad krautuvas galėjo įdiegti nuolatinė foninė paslauga vartotojo profilyje, išlaikant prieigą pašalinus paketus ir po perkrovimo.
Nepaisant nerimą keliančios mechanikos, iki šiol pastebėti su operacija susiję srautai grandinėje buvo kuklūs – vos keletas sandorių, kurių bendra suma mažesnė nei 200 USDŠis modelis labiau rodo žvalgybą ir atkaklumo ugdymą, o ne tiesioginį pinigų gavimą, nors pats dizainas tai aiškiai patvirtina. adresų keitimo vagystė pasirašymo darbo eigose.
Atsakymai, rodikliai ir švelninimo priemonės
„Wiz.io“ pranešė apie papildomus populiarių CI sistemų kompromitacijos požymius, įskaitant užmaskuoti URL adresai ir „Base64“ užkoduoti blokai įterpta į vamzdynų žurnalus. Jų išvados paskatino greitą konvejerio scenarijų pataisymai, plataus masto NPM žetonų auditus ir griežčiau užtikrinti palaikančių organizacijų saugumą.
Kalbant apie pardavėją, „OKX Wallet“ teigė, kad jos platforma nebuvo paveiktasBendrovė pabrėžė gimtosios iOS / Android kūrimo galimybes savo mobiliajai programėlei (ribojant priklausomybę nuo įterptojo „JavaScript“), naršyklės plėtinių, žiniatinklio programėlės ir dApp naršymo komponentų izoliaciją ir gylios gynybos praktika pavyzdžiui, 95 % šaldymo saugykla, pusiau neprisijungę daugiaženkliai saugyklos įrenginiai, dirbtiniu intelektu pagrįsta grėsmių aptikimas ir privalomas 2FA.
OKX taip pat paragino vartotojus būti budriems dėl trečiųjų šalių integracijų: tikrinti piniginės kodų bazes jei įmanoma, ir prieš pasirašydami dar kartą patikrinkite kiekvieną sandorį. Bendruomenės reakcija buvo daugiausia teigiama, pažymint, kad aiški, savalaikė komunikacija padeda suvaldyti paniką ir sutelkti atkūrimo pastangas visoje ekosistemoje.
Praktiniai žingsniai, skirti prižiūrėtojams ir komandoms, dabar apima: 2FA įjungimas NPM, prieigos žetonų ribojimas ir rotacija, mažiausių privilegijų CI taikymo sritys, priklausomybių prisegimas ir vientisumo tikrinimas (kontrolinės sumos, kilmė / SLSA, jei įmanoma), po diegimo atliktų scenarijų auditasir išėjimo valdiklius kūrimo aplinkoje. Galutiniams vartotojams aparatinės įrangos piniginės su saugiais ekranais ir aiškiu parašu išlieka patikimas apsauginis skydas prieš slaptą adresų manipuliavimą.
Epizode pabrėžiama, kaip gali būti pažeistas vienas techninės priežiūros specialistas. kaskadą per NPM tiekimo grandinę, šlifuodama tūkstančius projektų, tuo pačiu pateikdama tik silpnus finansinius signalus. Tarp slapto parengimo, atkaklumo taktikos ir kruopštaus versijų kūrimo gynėjai susiduria su subtiliu priešininku – tokiu, kuris teikia pirmenybę pasiekiamumui ir ilgaamžiškumui. Nuolatinis budrumas, skaidrūs patarimai ir sluoksniuotos kontrolės priemonės nuo kūrimo iki pasirašymo bus labai svarbus tęsiant tyrimą ir valymą.
