Atak na łańcuch dostaw Axios naraża aplikacje kryptowalutowe na ryzyko

Poważny atak na łańcuch dostaw dotknął Axios, jedno z najczęściej używanych narzędzi w tworzeniu stron internetowych. Badacze bezpieczeństwa z Socket Security odkryli, że hakerzy wstrzyknęli złośliwe oprogramowanie do określonych wersji biblioteki opublikowanych na npm.

Ten atak może wpłynąć na miliony aplikacji kryptowalutowych. Obejmuje wiele platform kryptowalutowych, które polegają na Axios w celu łączenia się z serwerami. Ponieważ Axios jest używany w tak wielu systemach, ryzyko jest szerokie i natychmiastowe. Dotknięte wersje obejmują axios@1.14.1 i axios@0.30.4. Deweloperzy, którzy zainstalowali te wersje, mogli nieświadomie narazić swoje systemy.

Jak doszło do ataku?

Atak nie wynikał z prostego błędu. Zamiast tego hakerzy zastosowali metodę łańcucha dostaw. Oznacza to, że zaatakowali sam proces dystrybucji oprogramowania. W tym przypadku atakujący dodali złośliwy pakiet o nazwie "plain-crypto-js@4.2.1" jako ukrytą zależność. Ten pakiet nie był wcześniej częścią Axios. Ktoś wstawił go po cichu podczas wydania.

Jeszcze bardziej niepokojące jest to, że wydanie nie przebiegło zgodnie z normalnym procesem Axios. Nie pojawiło się w oficjalnych tagach GitHub. Sugeruje to, że atakujący uzyskał nieautoryzowany dostęp do systemu publikacji. Raporty wskazują, że konto opiekuna mogło zostać naruszone. Pozwoliło to atakującemu na bezpośrednie przesłanie zainfekowanej wersji do npm.

Co może zrobić złośliwe oprogramowanie?

Złośliwe oprogramowanie nie jest nieszkodliwe. Instaluje narzędzie zdalnego dostępu, znane również jako RAT. Po dostaniu się do systemu może wykonywać polecenia, zbierać dane i łączyć się z zewnętrznymi serwerami. Działa w systemach macOS, Windows i Linux. Atak jest również zaprojektowany tak, aby się ukrywać. Działa podczas instalacji, a następnie usuwa ślady swojej aktywności. To utrudnia jego wykrycie. W związku z tym nawet deweloperzy mogą nie zdawać sobie sprawy, że ich system został dotknięty.

Dlaczego projekty kryptowalutowe są zagrożone?

Aplikacje kryptowalutowe często polegają na narzędziach takich jak Axios do wysyłania i odbierania danych. Obejmuje to usługi portfeli, giełdy i zdecentralizowane aplikacje. Jeśli te aplikacje używają dotkniętych wersji, atakujący mogą uzyskać dostęp do poufnych danych. Może to obejmować klucze prywatne, tokeny API lub informacje o użytkownikach.

Ponieważ wiele projektów korzysta z automatycznych aktualizacji, niektóre mogły zainstalować naruszoną wersję nieświadomie. To sprawia, że sytuacja jest poważniejsza. Atak pokazuje również, jak jeden słaby punkt może wpłynąć na wiele systemów jednocześnie.

Co deweloperzy powinni teraz zrobić?

Eksperci ds. bezpieczeństwa wzywają deweloperów do szybkiego działania. Po pierwsze, sprawdź wszystkie zależności i pliki lockfile. Poszukaj dotkniętych wersji Axios i złośliwego pakietu. Jeśli zostaną znalezione, natychmiast je usuń. Następnie przełącz się na bezpieczną wersję Axios.

Ważne jest również przejrzenie systemów pod kątem nietypowej aktywności. Zespoły bezpieczeństwa muszą ostrożnie obsługiwać wszelkie oznaki nieautoryzowanego dostępu. Rejestr npm usunął szkodliwe wersje. Ale incydent jest nadal w trakcie dochodzenia. Ten atak jest wyraźnym przypomnieniem. Nawet zaufane narzędzia mogą stać się celami. W szybko zmieniającej się przestrzeni takiej jak kryptowaluty, bycie czujnym nie jest już opcjonalne.

Post Axios Supply Chain Attack Exposes Crypto Apps to Risk ukazał się najpierw na Coinfomania.