Axios, üks populaarsemaid JavaScripti teekasid, võib olla kompromiteeritud ja seotud krüptorahaportfelli rünnakuga. npm-pakettide rünnakud muutuvad üha levinumaks ning sihitud on otse projektid, arendajad ja lõppkasutajad.
Axiosi npm-pakett avaldati ametlikus JavaScripti teekas ja eemaldati vaid mõni tund hiljem. Ahela turvalisuse ekspertide poolt rünnak tuvastati ja see oli aktiivne umbes kolm tundi.
npm-paketid kompromiteeriti @jasonsaaymani kasutajatunnustega, kuna uuringute tegijad olid endiselt otsimas märke sellest, et konto oleks kompromiteeritud. Mõjutatud paketid tuvastati kui [email protected] ja [email protected].
Nagu Cryptopolitan varem teatas, sihtavad npm-rünnakud sageli krüptorahaportfellesid ja on eriti ohtlikud suurte meeskondade varudega hajutatud projektidele.
Mis juhtus Axiosi npm-rünnakus?
StepSecurity oli üks esimesi, kes probleemi tuvastas. Kahte kurjatäitvat Axiosi HTTP-kliendi teeka versiooni avaldati kompromiteeritud tunnustega, mille omanik oli üks peamisi Axiosi hooldajaid, ületades sellega tavapärase avaldamise töövoogu GitHubis.
StepSecurityi andmetel oli see kuni nüksi kõige soovituslikum rünnak ülemaailmselt laialdaselt kasutatava top-10 npm-paketi vastu. Kurjatäitva paketi versioon lisab uue sõltuvuse – [email protected], mis ei ole Axiosi lähtekoodis importitud. Sõltuvus käivitab post-install skripti, mis töötab kõigil operatsioonisüsteemidel.
Pärast npm-i kasutamist saab klient nakatunud kaugjuurdepääsu troonatõmmiku (remote access trojan dropper) poolt, millel on elav server ja mis edastab koormusi (payloads). Malware kustutab iseennast ja asendab kahtlustatava .json-faili puhtama versiooniga, et vältida tuvastamist.
Millised projektid olid mõjutatud?
npm-paketid olid ühed populaarseimad, nende nädalaselt alla laadimiste arv ulatus kuni 100 miljonini. Siiski pole hetkel teateid volitamatutest krüptovaluutade liikumistest. Eelnevalt põhjustas npm-rünnak ainult 1000 USA dollari väärtuses krüptovaluutade kaotusi vähe tuntud tokenite puhul.
Ainuke viis kurjatäitvate npm-pakettide leviku piiramiseks on jälgida versioone ning mitte lubada automaatseid uuendusi või kontrollida uusi versioone potentsiaalsete kurjatäitvate üleslaadimiste suhtes.
Uuringute tegijad avastasid ka kaks täiendavat kurjatäitvat paketti, mis edastasid koormusi samal viisil – @shadanai/openclaw ja @qqbrowser/openclaw-qbot. See rünnak järgnes vaid ühe nädala pärast LiteLLMi kurjatäitva koodi sisestamise rünnakut.
Rünnaku ajal ei ole teateid Web3- või OpenClaw-projektide mõjutamisest ega krüptovaluutade varastamisest. Siiski antakse hoiatusi, et npm-rünnakud võivad nüüd muutuda tavapäraseks – kas varastatud tunnustega või volitamata avaldajate kaudu. See oht järgneb eelnevatele hoiatustele kurjatäitva koodi kohta OpenClaw oskuste platvormi kasutamisel.
Paketid ei piirdu Web3- või bot-projektidega ning võivad mõjutada mistahes krüptorahaportfelliga seotud koormusi. Usalduse kadu npm- ja Pythoni pip-installeerimiste suhtes võib kaasa tuua üldise usalduse languse teekade ökosüsteemis ning tekkida nõudmine turvalisema üleslaadimisrutiini järele.
AI-agentide kasutamine võib kaasa tuua kahtlematu teekade allalaadimise ja seega ka ohtu levitada. Krüptorahaportfellidele avalduv tegelik mõju ei pruugi olla kohe nähtav, kuid see võib ikkagi ohustada portfelli andmeid.
Sinu pank kasutab sinu raha. Sa saad vaid jäägid. Vaata meie tasuta videot selle kohta, kuidas saada omaette pank
Allikas: https://www.cryptopolitan.com/supply-chain-attack-axios-crypto-wallets/
