Een grootschalige aanval op de toeleveringsketen doet alarm slaan in Crypto, maar slechts $503 gestolen
Kwaadaardige NPM-pakketten waren gericht op portemonnees in verschillende ketens, maar de impact blijft beperkt.
- Geplaatst:
- Bewerkt:
Op 8 september waarschuwde Charles Guillemet, Chief Technology Officer bij Ledger, voor een actieve aanval op de toeleveringsketen die mogelijk het hele JavaScript-ecosysteem zou kunnen aantasten. In een bericht op X onthulde hij dat het Node Package Manager (NPM) account van een gerenommeerde ontwikkelaar was gecompromitteerd. De aanvaller plaatste kwaadaardige code in pakketten met meer dan een miljard downloads, wat alarm sloeg in de hele cryptogemeenschap.
De geïnjecteerde code was ontworpen om stilletjes crypto wallet adressen te verwisselen tijdens transacties. In de praktijk betekende dit dat nietsvermoedende gebruikers geld rechtstreeks naar het adres van de aanvaller konden sturen zonder zich hiervan bewust te zijn.
Guillemet benadrukte dat hardware wallets veilig bleven, op voorwaarde dat gebruikers elke transactie verifieerden voordat ze deze ondertekenden. Hij adviseerde alle andere gebruikers om onchain activiteiten te pauzeren totdat de situatie duidelijker werd.
Eerste zorgen in het hele ecosysteem
Het nieuws veroorzaakte onmiddellijke bezorgdheid binnen de cryptosector, waar veel gedecentraliseerde toepassingen afhankelijk zijn van open-source JavaScript-pakketten. Een gecompromitteerde afhankelijkheid zou gebruikers op Ethereum, Solana en andere ketens kunnen blootstellen.
Verschillende projecten, waaronder Marinade, Solflare, Step Finance, Jupiter, Drift en Phantom, gaven snel verklaringen uit waarin werd bevestigd dat hun systemen niet waren aangetast.
Ondanks deze geruststellingen was de omvang van de potentiële blootstelling aanzienlijk. NPM-pakketten vormen de basis van veel gebruikte applicaties en een inbreuk van deze aard benadrukte de kwetsbaarheid van de beveiliging van de toeleveringsketen bij softwareontwikkeling.
Aanvalsmechanisme en intentie
In een vervolgbericht op 9 september gaf Guillemet meer details. De aanvallers hadden toegang gekregen via een phishing e-mailcampagne die zich voordeed als NPM-ondersteuning. Via een nepdomein stalen ze de gegevens van ontwikkelaars en publiceerden ze kwaadaardige updates voor veelgebruikte pakketten. De geïnjecteerde code probeerde webgebaseerde cryptoactiviteit te onderscheppen, door in te haken op netwerkreacties en portemonneeadressen te vervangen.
Implementatiefouten ondermijnden echter de effectiviteit van de aanval. De kwaadaardige code zorgde ervoor dat continue integratie- en implementatiepijplijnen vastliepen, waardoor ontwikkelaars en beveiligingsteams eerder werden gewaarschuwd dan de aanvallers waarschijnlijk van plan waren. Deze verstoring beperkte de reikwijdte van de aanval en verminderde het aantal succesvolle diefstallen.
Minimale financiële schade
Blockchain-analyse suggereert dat de aanvallers een minimaal bedrag stalen. Onderzoeker @4484, die de wallets gekoppeld aan het incident op Arkham groepeerde onder het label "NPM aanval", vond slechts $503,59 aan gestolen fondsen. Een paar uur eerder stond het bedrag nog op $66, wat laat zien dat het totaal misschien iets is gegroeid, maar te verwaarlozen is vergeleken met de potentiële omvang van de aanval.
De pseudonieme oprichter van DefiLlama, 0xngmi, legde uit waarom de impact beperkt was. De kwaadaardige code kon transacties op websites wijzigen door gebruik te maken van gecompromitteerde afhankelijkheden, zoals het vervangen van bestemmingsadressen. Gebruikers moesten deze gewijzigde transacties echter nog steeds handmatig goedkeuren in hun portemonnee, waardoor automatische geldafvoer werd voorkomen.
Security Alliance, een beveiligingscollectief, beschreef het resultaat als "gelukkig" en merkte op dat als de aanvallers de payload effectiever hadden uitgevoerd, de potentiële schade immens had kunnen zijn.
Nauwelijks ontsnapt
De aanval op de NPM-keten in september is zowel een waarschuwing als een geheugensteuntje. De werkelijke verliezen waren klein, maar de schaal van potentiële blootstelling was enorm. Met meer dan een miljard downloads van de getroffen pakketten, liet het incident zien hoe een gecompromitteerde account een rimpeleffect kan hebben in het hele ecosysteem.
Crypto-gebruikers en -ontwikkelaars worden geconfronteerd met een voortdurend veranderend bedreigingslandschap. Terwijl hardware wallets en transactieverificatie betrouwbare verdedigingen blijven, zullen aanvallers doorgaan met het onderzoeken van zwakke plekken in software supply chains. De laatste episode is misschien geëindigd met bijnageen slachtoffers, maar de volgende kan veel schadelijker zijn.
Lees meer op SolanaFloor
Denkt u dat Solana een perceptieprobleem heeft?
