Axios, одна з найпопулярніших бібліотек JavaScript, можливо, скомпрометована та залучена до атаки на криптогаманці. Атаки на пакети npm стають все більш поширеними, безпосередньо атакуючи проєкти, розробників та кінцевих користувачів.
Пакет npm Axios було опубліковано в офіційній бібліотеці JavaScript і видалено лише через кілька годин. Експерти з безпеки в ланцюзі перехопили атаку, яка була активною близько трьох годин.
Пакети npm були скомпрометовані через облікові дані @jasonsaayman, оскільки дослідники все ще шукали ознаки того, що обліковий запис було скомпрометовано. Ураженими пакетами були визначені [email protected] та [email protected].
Як повідомляв Cryptopolitan раніше, атаки npm часто спрямовані на криптогаманці та є особливо ризикованими для децентралізованих проєктів з великими командними активами.
Що сталося під час атаки npm Axios?
StepSecurity був серед перших, хто виявив проблему. Дві зловмисні версії бібліотеки HTTP-клієнта Axios були опубліковані через скомпрометовані облікові дані головного супроводжувача Axios, обійшовши звичайний конвеєр публікації на GitHub.
Згідно з StepSecurity, це була найскладніша атака на широко використовуваний пакет npm з топ-10. Зловмисна версія пакета вводить нову залежність, [email protected], яка не імпортується у вихідний код axios. Залежність запускає пост-інсталяційний скрипт, активний на всіх операційних системах.
Після використання npm клієнт заражається дропером трояна віддаленого доступу, який має живий сервер і доставляє корисні навантаження. Шкідлива програма також видаляє себе та замінює підозрілий .json чистою версією, щоб уникнути виявлення.
Які типи проєктів постраждали?
Пакети npm були серед найпопулярніших, з до 100 мільйонів завантажень на тиждень. Однак на даний момент немає повідомлень про несанкціоноване переміщення криптовалюти. Раніше атака npm призвела лише до втрат криптовалюти на 1 000 доларів від невідомих токенів.
Єдиний спосіб обмежити зловмисний npm - це відстежувати версії та не дозволяти автоматичні оновлення або перевіряти нові версії на наявність потенційних зловмисних завантажень.
Дослідники також виявили два додаткові зловмисні пакети, які доставляють корисні навантаження таким же чином - @shadanai/openclaw та @qqbrowser/openclaw-qbot. Атака відбулася лише через тиждень після зловмисного впровадження коду LiteLLM.
Немає повідомлень про ураження проєктів Web3 або OpenClaw чи будь-яку викрадену криптовалюту протягом тривалості атаки. Однак були видані попередження, що атаки npm тепер можуть стати нормою, або через викрадені облікові дані, або несанкціонованих видавців. Загроза йде за попередніми попередженнями про зловмисний код, що використовує платформу навичок OpenClaw.
Пакети не обмежуються проєктами Web3 або ботів і можуть вплинути на будь-які корисні навантаження, пов'язані з криптогаманцями. Втрата довіри до npm та pip встановлень для Python також може підірвати загальну довіру до екосистеми бібліотек із закликами до більш безпечного шляху завантаження.
Використання ШІ-агентів також може призвести до невибіркового завантаження пакетів, поширюючи загрозу. Фактичні наслідки для криптогаманців можуть бути не негайними, але вони все ще потенційно розкривають дані гаманця.
Ваш банк використовує ваші гроші. Ви отримуєте залишки. Перегляньте наше безкоштовне відео про те, як стати власним банком
Джерело: https://www.cryptopolitan.com/supply-chain-attack-axios-crypto-wallets/
