Крупномасштабная атака на цепочки поставок подняла тревогу по всей криптовалюте, но украдено всего 503 доллара
Вредоносные пакеты NPM нацелены на кошельки всех цепочек, но их воздействие остается ограниченным.
- Опубликовано:
- Отредактировано:
8 сентября Чарльз Гиллемет, директор по технологиям компании Ledger, предупредил об активной атаке на цепочку поставок, которая потенциально может затронуть всю экосистему JavaScript. В своем посте на сайте X он сообщил, что аккаунт Node Package Manager (NPM) авторитетного разработчика был взломан. Злоумышленник внедрил вредоносный код в пакеты с более чем миллиардом загрузок, что вызвало тревогу у криптовалютного сообщества.
Внедренный код был предназначен для бесшумной подмены адресов криптокошельков во время транзакций. На практике это означало, что ничего не подозревающие пользователи могли отправлять средства напрямую на адрес злоумышленника, не подозревая об этом.
Гийемет подчеркнул, что аппаратные кошельки остаются безопасными, если пользователи проверяют каждую транзакцию перед подписанием. Всем остальным пользователям он посоветовал приостановить активность в ончейне до прояснения ситуации.
Первые опасения в экосистеме
Новость вызвала немедленное беспокойство в криптовалютном секторе, где многие децентрализованные приложения полагаются на пакеты JavaScript с открытым исходным кодом. Скомпрометированная зависимость может подвергнуть опасности пользователей Ethereum, Solana и других цепочек.
Несколько проектов, включая Marinade, Solflare, Step Finance, Jupiter, Drift и Phantom, быстро выпустили заявления, подтверждающие, что их системы не пострадали.
Несмотря на эти заверения, масштаб потенциального воздействия был значительным. Пакеты NPM лежат в основе многих широко используемых приложений, и взлом такого рода подчеркнул хрупкость безопасности цепочки поставок при разработке программного обеспечения.
Механика и намерения атаки
В своем последующем сообщении от 9 сентября Гийемет предоставил более подробную информацию. Злоумышленники получили доступ через фишинговую почтовую кампанию, выдавая себя за службу поддержки NPM. Используя поддельный домен, они похитили учетные данные разработчиков и опубликовали вредоносные обновления для широко используемых пакетов. Внедренный код пытался перехватить криптовалютную активность в Интернете, подключаясь к ответам сети и подменяя адреса кошельков.
Однако ошибки в реализации подорвали эффективность атаки. Вредоносный код привел к сбоям в системах непрерывной интеграции и развертывания, предупредив разработчиков и службы безопасности раньше, чем предполагали злоумышленники. Этот сбой ограничил масштаб атаки и снизил количество успешных краж.
Минимальный финансовый ущерб
Анализ блокчейна позволяет предположить, что злоумышленники украли минимальную сумму. Исследователь @4484, который сгруппировал кошельки, связанные с инцидентом в Аркхэме, под ярлыком "NPM-атака", обнаружил всего 503,59 доллара в украденных средствах. Несколькими часами ранее эта цифра составляла $66, что говорит о том, что сумма, возможно, и выросла, но осталась незначительной по сравнению с потенциальным масштабом взлома.
Псевдонимный основатель DefiLlama, 0xngmi, объяснил, почему последствия оказались ограниченными. Вредоносный код мог изменять транзакции на веб-сайтах, используя скомпрометированные зависимости, например, заменяя адреса назначения. Однако пользователям все равно приходилось вручную подтверждать эти измененные транзакции в своих кошельках, что предотвращало автоматический отток средств.
Security Alliance, организация, занимающаяся вопросами безопасности, назвала результат "удачным", отметив, что если бы злоумышленники выполнили полезную нагрузку более эффективно, потенциальный ущерб мог бы быть огромным.
Узкий побег
Сентябрьская атака на цепочку поставок NPM служит одновременно и предупреждением, и напоминанием. Фактические потери были невелики, но масштаб потенциального воздействия был огромен. Инцидент, в ходе которого было загружено более миллиарда пакетов, продемонстрировал, как взломанная учетная запись может оказать влияние на всю экосистему.
Пользователи и разработчики криптовалют сталкиваются с постоянно развивающимся ландшафтом угроз. В то время как аппаратные кошельки и проверка транзакций остаются надежной защитой, злоумышленники будут продолжать искать слабые места в цепочках поставок программного обеспечения. Последний эпизод, возможно, закончился почтибез жертв, но следующий может оказаться гораздо более разрушительным.
Подробнее на SolanaFloor
Считаете ли вы, что у Соланы проблемы с восприятием?