根據網絡安全公司Aikido Security的新研究,一次重大的JavaScript供應鏈攻擊已經危及數百個軟體包,其中至少有10個在加密生態系統中被廣泛使用。
在週一的一篇文章中,Aikido Security的研究員Charlie Eriksen 分享了400多個顯示感染“Shai Hulud”自我複製惡意軟體跡象的軟體包名稱,該惡意軟體用於正在進行的JavaScript NPM庫供應鏈攻擊。Eriksen表示,他驗證了每個檢測結果以避免誤報。
許多涉及加密貨幣的軟體包每週下載量達數萬次,並且有許多其他軟體包需要它們才能運行。在今天早些時候發布的一篇X帖子中,Eriksen還警告以太坊名稱服務(ENS)團隊,他們的幾個軟體包受到了影響。
Shai Hulud是更廣泛的供應鏈攻擊趨勢的一部分。今年九月初,迄今為止報告的最大NPM攻擊中,黑客僅竊取了5000萬美元的加密貨幣。亞馬遜網絡服務指出,這次首次攻擊後僅一週,Shai-Hulud蠕蟲就開始自動傳播。
雖然之前的攻擊直接針對加密貨幣以竊取資產,但Shai-Hulud是一種通用的憑證竊取惡意軟體,能夠在開發者基礎設施中自動傳播。如果感染的環境中包含錢包密鑰,惡意軟體將像其他憑證一樣竊取它們作為“秘密”。
哪些加密軟體包受到了影響?
在所有受影響的軟體包中,至少有10個與加密貨幣行業直接相關,幾乎全部與ENS相關,這是一個人類可讀的地址名稱服務。受影響的軟體包包括ENS的content-hash,每週下載量近36000次,91個軟體包依賴於它,以及address-encoder,每週下載量超過37500次。
其他受影響的ENS軟體包包括ensjs(每週下載量超過30000次)、ens-validation(每週下載量1750次)、ethereum-ens(每週下載量12650次)和ens-contracts(每週下載量近3100次)。一個與ENS無關的加密貨幣相關軟體包,名為crypto-addr-codec,也被攻破,下載量近35000次。
受影響的熱門非加密軟體包
受影響的非加密相關軟體包包括由企業自動化平台Zapier提供的一些軟體包,其中一個每週下載量超過40000次,其他的也不遠。Eriksen在後續帖子中指出其他被感染的軟體包,其中一些每週下載量接近70000次,還有另一個軟體包每週下載量超過150萬次。
“這次新的Shai Hulud攻擊的範圍實在是太大了;我們仍在處理隊列以確認所有情況,”Eriksen在X上寫道。
“這將使之前的攻擊顯得微不足道。”
網絡安全公司Wiz的研究人員聲稱已經“發現超過25000個受影響的存儲庫,涉及約350個獨特用戶,每30分鐘就有1000個新存儲庫被持續添加。”該公司建議“立即調查和修復”任何使用npm的環境。