Хакери зламали акаунт відомого розробника під нікомqix та вбудували шкідливий код увсі NPM-пакети цього автора. Серед заражених JavaScript бібліотек опинились й такі надпопулярні, такі як chalk та debug-js. Разом вони мають понад 2 мільярди завантажень на тиждень. Цей кібернапад можна назвати найбільшою атакою на ланцюжок поставок в історії.

Автора пакетів скомпроментували фішинговим електронним листом, надісланим з support@npmjs[.]help. На момент написання цей домен більше недоступний. Електронний лист містив посилання, яке завантажувало контент з двох контрольованих зловмисником BunnyCDN корзин. Один з завантажених скриптів був крадієм облікових даних зберігає ім’я користувача, пароль та 2FA-код і надсилає їх на віддалений хост за адресою websocket-api2.publicvm[.]com. Після компрометації облікового запису зловмисник оновив усі пакети та вбудував викрадач криптовалют. Це ПЗ атакує лише десктопи і перевіряє, чи існує window.ethereum, і якщо так, встановлює перехоплювачі на функції request, send та sendAsync. Він також перезаписує функції fetch і XMLHttpRequest.prototype.open та XMLHttpRequest.prototype.send. Якщо window.ethereum знайдено, шкідливий скрипт перехоплює як Ethereum, так і Solana запити. У випадку Ethereum, він автоматично перезаписує адресу призначення будь-якого виклику на гаманець зловмисника.

Поки що хакери змогли вкрасти криптовалют лише на $50. Шкідливе ПЗ було налаштовано так, щоб красти збереження з гаманців Ethereum та Solana.

“Уявіть собі: ви компрометуєте обліковий запис NPM розробника, чиї пакети завантажуються понад 2 мільярди разів на тиждень. Ви могли б мати необмежений доступ до мільйонів робочих станцій розробників. Незліченні багатства чекають на вас. Світ у ваших руках. А ви заробляєте менше $50,” — пожартували у Security Alliance.

Хакер з якоїсь причини скористався отриманим доступом. Шкідливе ПЗ майже повністю нейтралізоване. Хоча напередодні дослідники Security Alliance називали цифру у $0.05, яка за кілька годин все ж зросла до $50. Тобто, потенційно кількість постраждалих може збільшитись з часом.

На адресу злочинців поки потрапили лише мемкоїни Brett (BRETT), Andy (ANDY), Dork Lord (DORK), Ethervista (VISTA) та Gondola (GONDOLA).

Якщо користувались пакетами від qix:

ITC.ua у Telegram: нас читає навіть ChatGPTПІДПИСАТИСЯ

• Перевірте локальні node_modules, чи містять вони шкідливе ПЗ: grep -R ‘checkethereumw’
• Перевірте npm-кеш за допомогою цього скрипту від phxgg
• Перевірте проєкт за допомогою цього скрипту від AndrewMohawk

Джерело: Security Alliance

Джерело