Beveik katastrofiška NPM tiekimo grandinės ataka siunčia šoko bangas per kriptovaliutą
Vakar kriptovaliutų pasaulis labai gąsdino. Saugumo pažeidimas plačiai naudojamame kūrėjų įrankių rinkinyje išsiuntė panikos bangą visoje socialinėje žiniasklaidoje, nes skubūs įspėjimai liepė visiems tiesiog kurį laiką nustoti daryti operacijas. Tai buvo įtempta kelias valandas.
Problema prasidėjo, kai apsaugos įmonė „Aikido“ tyrėjai pastebėjo ką nors blogo. Jie nustatė, kad 18 skirtingų NPM paketų – esminės kodo, kurį naudoja kūrėjai, saugykla buvo užkrėsta kenksmingu kodu. Tai nebuvo neaiškūs įrankiai. Mes kalbame apie neįtikėtinai įprastus paketus su tokiais pavadinimais kaip „Chalk“ ir „DeBug-JS“.
Kaip sukčiavimo el. Laiškas sukėlė chaosą
Kūrėjas, palaikantis šiuos paketus, žinomus internete kaip „Qix“, greitai patvirtino pažeidimą. Jį apgavo sukčiavimo el. Laiškas, kuris, jo žodžiais tariant, „atrodė labai teisėtas“. Tam pavieniui el. Laiškui prireikė prieigos prie užpuoliko. Kodas, kuris buvo paslydęs, buvo sukurtas taip, kad būtų paslėptas. Tai tyliai perims veiklą vartotojo naršyklėje, susijusioje su kriptovaliuta, tada perrašykite informaciją apie operaciją, kad siųstų lėšas į užpuoliko kontroliuojamus adresus. Kad padirbiniai adresai būtų mažiau akivaizdūs, kodas netgi naudojo konkretų algoritmą, kuris pasirinko tuos, kurie atrodė vizualiai panašūs į tikruosius. Tai buvo sudėtingas požiūris, panašus į adresą apsinuodijimo sukčiavimais, kuriuos matėme anksčiau.
Pagrindinis perspėjimas su minimaliais nuostoliais
Teoriškai tai turėjo būti visiška katastrofa. „Security Alliance“, „blockchain Security“ grupė, vėliau pažymėjo, kad šie kompromituojami paketai žvelgia „daugiau nei 2 milijardai atsisiuntimų per savaitę“. Jie tai pavadino potencialiai didžiausia visų laikų tiekimo grandinės ataka. Aplink, skraidantys įspėjimai atspindėjo tą baimę. Bet tada nutiko keistas dalykas. Beveik beveik nebuvo pavogta pinigų.
Kodėl? Keletas veiksnių kartu sukuria tai, ką užpuoliko „Samczsun“ iš Saugumo aljanso pavadino „kartų fumble“. Pirma, kenksmingos pakuočių versijos buvo tiesioginės tik maždaug dvi su puse valandos. Be to, kaip pabrėžė pseudoniminis „Defillama“ kūrėjas, „0xngmi“, rimčiausi programinės įrangos projektai „priskiria“ savo priklausomybes. Tai reiškia, kad jie automatiškai nenaudoja naujausio atnaujinimo; Jie laikosi žinomos, saugios versijos. Taigi, net jei atnaujinimas buvo pastumtas, daugelis svetainių vis tiek valdė seną, švarų kodą.
Padariniai: palengvėjimas ir išjuokimas
Kai greitas pavojus praėjo, nuotaika pasikeitė iš panikos į pasityčiojimą. Grandinės duomenys atskleidė pagrindinį užpuoliko adresą, kuris turėjo šiek tiek daugiau nei 900 USD, iš viso iš tikrųjų tiesiogiai pavogė apie penkis centus ETH. Kažkas net atsiuntė operaciją su pranešimu duomenų lauke, vadindamas įsilaužėliu „kruvinu kvailiu“ ir „laisvesniu“ (sic) už tai, kad jis sugebėjo ištraukti tokį plačiai paplitusią įsilaužimą, tačiau nepavyko pavogti nieko prasmingo.
Tačiau saugumo bendruomenė iš tikrųjų nėra juokinga. Atrodo, kad jų vyraujantis jausmas yra tas, kad mums visiems pasisekė. Dabar susirūpinimas yra tas, kad šis nesėkmingas bandymas iš esmės suteikia planą, kad kažkas kitas bandytų dar kartą, tačiau veiksmingiau kitą kartą. Tikrosios išlaidos, kaip pažymėjo „Saugumo aljansas“, nebuvo prarastos lėšos, tačiau daugybę valandų inžinerijos komandos, išleistos, kad reaguotų. Tai yra stulbinantis, o galbūt – priminimas apie trapius ryšius, kurie kartu palaiko skaitmeninį pasaulį.
Skelbimo rodiniai: 351
