Axios, jedna z najpopularniejszych bibliotek JavaScript, może być skompromitowana i zaangażowana w atak na portfele kryptowalutowe. Ataki na pakiety npm stają się coraz bardziej powszechne, bezpośrednio atakując projekty, deweloperów i użytkowników końcowych.
Pakiet npm Axios został opublikowany w oficjalnej bibliotece JavaScript i wycofany zaledwie kilka godzin później. Eksperci ds. bezpieczeństwa on-chain przechwycili atak, który był aktywny przez około trzy godziny.
Pakiety npm zostały skompromitowane poprzez dane uwierzytelniające użytkownika @jasonsaayman, podczas gdy badacze wciąż szukali oznak kompromitacji konta. Dotknięte pakiety zostały zidentyfikowane jako [email protected] i [email protected].
Jak informował wcześniej Cryptopolitan, ataki npm często celują w portfele kryptowalutowe i są szczególnie ryzykowne dla zdecentralizowanych projektów z dużymi zasobami zespołu.
Co wydarzyło się podczas ataku npm na Axios?
StepSecurity było jednym z pierwszych, które zidentyfikowały problem. Dwie złośliwe wersje biblioteki klienta HTTP Axios zostały opublikowane za pomocą skompromitowanych danych uwierzytelniających głównego opiekuna Axios, omijając normalny proces publikacji na GitHub.
Według StepSecurity był to najbardziej wyrafinowany atak na szeroko używany pakiet npm z top-10. Złośliwa wersja pakietu wprowadza nową zależność, [email protected], która nie jest importowana w kodzie źródłowym axios. Zależność uruchamia skrypt poinstalacyjny, aktywny na wszystkich systemach operacyjnych.
Po użyciu npm klient zostaje zainfekowany trojańskim dropperem zdalnego dostępu, który ma aktywny serwer i dostarcza ładunki. Złośliwe oprogramowanie usuwa również samo siebie i zastępuje podejrzany plik .json czystą wersją, aby uniknąć wykrycia.
Jakie typy projektów zostały dotknięte?
Pakiety npm należały do najpopularniejszych, z ponad 100 mln pobrań tygodniowo. Jednak w tym momencie nie ma doniesień o nieautoryzowanych ruchach kryptowalut. Wcześniej atak npm doprowadził jedynie do strat kryptowalutowych w wysokości 1000 USD z mało znanych tokenów.
Jedynym sposobem ograniczenia złośliwych npm jest śledzenie wersji i niedozwalanie na automatyczne aktualizacje lub sprawdzanie nowych wersji pod kątem potencjalnie złośliwych przesyłanych plików.
Badacze odkryli również dwa dodatkowe złośliwe pakiety dostarczające ładunki w ten sam sposób – @shadanai/openclaw i @qqbrowser/openclaw-qbot. Atak nastąpił zaledwie tydzień po złośliwym wstrzyknięciu kodu LiteLLM.
Nie ma doniesień o tym, aby projekty Web3 lub OpenClaw zostały dotknięte lub aby skradziono jakąkolwiek kryptowalutę w czasie trwania ataku. Jednak wydano ostrzeżenia, że ataki npm mogą teraz stać się normą, czy to poprzez skradzione dane uwierzytelniające, czy nieautoryzowanych wydawców. Zagrożenie następuje po wcześniejszych ostrzeżeniach dotyczących złośliwego kodu wykorzystującego platformę umiejętności OpenClaw.
Pakiety nie ograniczają się do projektów Web3 lub botów i mogą wpływać na wszelkie ładunki połączone z portfelami kryptowalutowymi. Utrata zaufania do instalacji npm i pip dla Pythona może również podkopać ogólne zaufanie do ekosystemu bibliotek, z wezwaniami do bardziej bezpiecznej ścieżki przesyłania.
Korzystanie z agentów AI może również prowadzić do bezkrytycznego pobierania pakietów, rozprzestrzeniając zagrożenie. Rzeczywiste skutki dla portfeli kryptowalutowych mogą nie być natychmiastowe, ale nadal potencjalnie narażają dane portfela.
Twój bank używa Twoich pieniędzy. Ty dostajesz resztki. Obejrzyj nasz bezpłatny film o tym, jak zostać własnym bankiem
Źródło: https://www.cryptopolitan.com/supply-chain-attack-axios-crypto-wallets/
