Новая атака на цепочку поставок NPM компрометирует крупные ENS и криптобиблиотеки

Исследователь предупредил, что более 400 библиотек NPM, включая по меньшей мере 10 криптопакетов, в основном связанных с ENS, были скомпрометированы вредоносным ПО Shai Hulud.Крупная атака на цепочку поставок JavaScript скомпрометировала сотни программных пакетов — включая по меньшей мере 10, широко используемых в криптоэкосистеме, — согласно новому исследованию от компании по кибербезопасности Aikido Security.В своем сообщении в понедельник Чарли Эриксен, исследователь из Aikido Security, поделился названиями более 400 пакетов, которые демонстрируют признаки заражения самореплицирующимся вредоносным ПО «Shai Hulud», используемым в продолжающейся атаке на цепочку поставок библиотек JavaScript NPM. Эриксен заявил, что проверил каждое обнаружение, чтобы избежать ложных срабатываний.Многие из затронутых пакетов, связанных с криптовалютами, получают десятки тысяч загрузок в неделю и имеют множество других пакетов, которые требуют их для функционирования. В сообщении в X, опубликованном ранее сегодня, Эриксен также предупредил команду Ethereum Name Service (ENS) о том, что несколько их пакетов затронуты.Shai Hulud является частью более широкой тенденции атак на цепочки поставок. В начале сентября в результате крупнейшей на сегодняшний день атаки на NPM хакеры украли «всего» 50 миллионов долларов в криптовалюте. Amazon Web Services отметила, что за этой первой атакой последовало автономное распространение червя Shai-Hulud всего через неделю.В то время как предыдущая атака была напрямую нацелена на криптовалюту для кражи активов, Shai-Hulud — это вредоносное ПО общего назначения для кражи учетных данных, которое автономно распространяется по инфраструктуре разработчиков. Если зараженная среда содержит ключи кошельков, вредоносное ПО украдет их как «секреты», подобно любым другим учетным данным.Среди всех затронутых пакетов по меньшей мере 10 были специально связаны с криптовалютной индустрией, и почти все были привязаны к ENS, сервису имен адресов, читаемых человеком. Среди затронутых пакетов — content-hash от ENS, с почти 36 000 еженедельных загрузок и 91 программным пакетом, зависящим от него, а также address-encoder, с более чем 37 500 еженедельными загрузками.Другие затронутые пакеты ENS включают ensjs (более 30 000 еженедельных загрузок), ens-validation (1 750 еженедельных загрузок), ethereum-ens (12 650 еженедельных загрузок) и ens-contracts (почти 3 100 еженедельных загрузок). Криптовалютный пакет, не связанный с ENS, под названием crypto-addr-codec, также был скомпрометирован, с почти 35 000 загрузок.Среди затронутых пакетов, не связанных с криптовалютами, есть те, что предлагаются корпоративной платформой автоматизации Zapier, включая один с более чем 40 000 загрузок в неделю и многие другие, не сильно отстающие. В последующем сообщении Эриксен указал на другие зараженные пакеты, некоторые с почти 70 000 еженедельных загрузок, и на еще один пакет, который получает более 1,5 миллиона еженедельных загрузок.«Масштаб этой новой атаки Shai Hulud, откровенно говоря, огромен; мы все еще работаем над подтверждением всех данных», — написал Эриксен в X.Исследователи из компании по кибербезопасности Wiz утверждают, что «обнаружили более 25 000 затронутых репозиториев у ~350 уникальных пользователей, 1000 новых репозиториев постоянно добавляются каждые 30 минут в течение последних нескольких часов». Компания рекомендует «немедленное расследование и устранение последствий» для любой среды, использующей npm.Еженедельный обзор ключевых бизнес-тенденций в блокчейне и криптовалюте, от новостей стартапов до регуляторных изменений. Получите ценные инсайты, чтобы ориентироваться на рынке и находить финансовые возможности. Доставляется каждый четверг.