Axiosi tarneprotsessidele suunatud rünnak avaldas krüptorakendused riski all

Tõsine tarnekettetüüpne rünnak on tabanud Axiosi – ühte kõige laialdasemalt kasutatavatest veebiarenduse tööriistadest. Turvauuringute teinud Socket Securityi turvaeksperdid avastasid, et hakerid olid sisestanud pahavarat teatud versioonidesse npm-is avaldatud teegist.

Selle rünnaku mõju võib ulatuda miljonite krüptorakenduste peale. Seda hõlmab palju krüptoplatforme, mis kasutavad Axiosit serveritega ühenduse loomiseks. Kuna Axiosit kasutatakse nii paljus kordades, on oht lai ja kohe tunduv. Mõjutatud versioonid on axios@1.14.1 ja axios@0.30.4. Arendajad, kes neid versioone paigaldasid, võisid oma süsteeme teadmata kohaselt ohustada.

Kuidas rünnak toimus?

Rünnak ei tulnud lihtsast veast. Pigem kasutasid hakerid tarnekettetüüpi meetodit – see tähendab, et nad sihtisid ise tarkvara levitamise protsessi. Sel juhul lisasid ründajad peidetud sõltuvusena pahavarapaketi nimega „plain-crypto-js@4.2.1“. See pakett ei olnud Axiosis varem osa. Keegi lisas selle vaikimisi väljalaskemise käigus.

Veelgi murespanevam on see, et väljalaskmine ei järginud Axiosi tavapärast protsessi. See ei ilmunud ametlikus GitHubi sildis. See viitab sellele, et ründaja sai volmata juurdepääsu avaldamissüsteemile. Teated viitavad sellele, et mõne hooldaja konto võis olla kompromitteeritud. See andis ründajale võimaluse pushida nakatunud versiooni otse npm-i.

Mida pahavara suudab teha?

Pahavara ei ole ohutu. See paigaldab kaugjuurdepääsutööriista (RAT). Ühekordselt süsteemi sisenenud, saab see käivitada käske, koguda andmeid ja ühenduda välistesse serveritesse. See töötab nii macOSil, Windowsil kui ka Linuxil. Rünnak on ka nii kujundatud, et varjata ennast: see käivitub paigaldamise ajal ja eemaldab seejärel oma tegevuse jäljed. See muudab selle tuvastamise raskemaks. Sellisel juhul ei pruugi isegi arendajad aru saada, et nende süsteem on mõjutatud.

Miks on krüptoprojektid ohus?

Krüptorakendused kasutavad sageli Axiosi andmete saatmiseks ja vastuvõtmiseks – sealhulgas rahakotiteenused, vahetusplatvormid ja detsentraliseeritud rakendused (dApps). Kui need rakendused kasutavad mõjutatud versioone, võivad ründajad ligi pääseda tundlikule teabele – näiteks privaatvõtmetele, API-tokentele või kasutajaandmetele.

Kuna paljud projektid kasutavad automaatselt uuendusi, võisid mõned mõjutatud versiooni paigaldada teadmata. See muudab olukorra tõsisemaks. Rünnak näitab ka seda, kui üks nõrk koht võib korraga mõjutada paljusid süsteeme.

Mida peaksid arendajad nüüd tegema?

Turvaeksperdid soovitavad arendajatel kiiresti tegutseda. Esiteks tuleb kontrollida kõiki sõltuvusi ja lukkfailisid. Otsige mõjutatud Axiosi versioone ja pahavarapaketti. Kui leiate, eemaldage need kohe. Seejärel vahetage turvalisele Axiosi versioonile.

Oleks ka oluline kontrollida süsteeme ebatavalise tegevuse järgi. Turvameeskonnad peavad suhtuma iga volmata juurdepääsu märkidega ettevaatlikult. npm-i registri on eemaldanud kahjulikud versioonid. Siiski on sündmus endiselt uurimisel. See rünnak on selge meenutus: isegi usaldusväärsed tööriistad võivad muutuda sihtmärkideks. Kiiresti muutuvas ruumis nagu krüptovaluutad on valvsus enam mitte valik, vaid kohustus.

Postitus „Axiosi tarnekettetüüpi rünnak ohustab krüptorakendusi“ ilmus esmakordselt Coinfomanias.