Хвиля атак на ланцюг постачання npm: що сталося? Як зменшити ризики?

Original Article Title: "Supply Chain Attack Goes Viral Overnight: What Happened? How to Mitigate Risk?"

Original Article Author: Azuma, Odaily Planet Daily

9 вересня, східноазійський час, технічний директор Ledger Charles Guillemet опублікував попередження на X, заявивши: «Зараз відбувається масштабна атака на ланцюг постачання, обліковий запис NPM відомого розробника був зламаний. Уражений програмний пакет було завантажено понад 1 мільярд разів, що свідчить про те, що вся екосистема JavaScript може бути під загрозою».

Guillemet додатково пояснив: «Шкідливий код працює, тихо змінюючи криптовалютні адреси у фоновому режимі для викрадення коштів. Якщо ви використовуєте апаратний гаманець, ретельно перевіряйте кожну підписану транзакцію, і ви в безпеці. Якщо ви не використовуєте апаратний гаманець, будь ласка, тимчасово утримайтеся від будь-яких транзакцій у мережі. Наразі невідомо, чи зловмисник вже викрав мнемонічну фразу програмних гаманців».

Що сталося?

Згідно з доповіддю з безпеки, на яку посилається Guillemet, прямою причиною цього інциденту стало: обліковий запис NPM відомого розробника @qix був зламаний, що призвело до випуску шкідливих версій десятків програмних пакетів, включаючи chalk, strip-ansi та color-convert. Шкідливий код міг поширитися до кінцевих користувачів, коли розробники або користувачі автоматично встановлювали залежності.

Odaily Note: Щотижневі дані про обсяг завантажень уражених програмних пакетів.

Коротко кажучи, це класичний випадок атаки на ланцюг постачання — коли зловмисник впроваджує шкідливий код (наприклад, пакет NPM) у інструмент розробки або систему залежностей для здійснення зловмисної діяльності. NPM, скорочено від Node Package Manager, є найпоширенішим інструментом керування пакетами в екосистемі JavaScript/Node.js. Його основні функції включають керування залежностями, встановлення та оновлення пакетів, спільне використання коду тощо.

Через величезний масштаб екосистеми NPM, яка наразі складається з мільйонів програмних пакетів, майже всі Web3-проекти, криптогаманці та фронтенд-інструменти залежать від NPM—саме тому широкі залежності NPM та складний ланцюг посилань роблять його точкою високого ризику для атак на ланцюг постачання. Впроваджуючи шкідливий код у широко використовуваний програмний пакет, зловмисники можуть потенційно вплинути на тисячі додатків і користувачів.

Як показано на схемі поширення шкідливого коду вище:

· Певний проект (синя коробка) безпосередньо залежить від деяких загальних open-source бібліотек, таких як express.

· Ці прямі залежності (зелені коробки) далі залежать від інших непрямих залежностей (жовті коробки, наприклад lodash).

· Якщо непряма залежність таємно заражена шкідливим кодом зловмисником (червона коробка), він буде поширюватися по ланцюгу залежностей у цей проект.

Що це означає для криптовалюти?

Пряма актуальність цього інциденту для криптовалютної індустрії полягає в тому, що шкідливий код, впроваджений хакером у згаданий уражений програмний пакет, є складним «криптовалютним викрадачем буфера обміну», який краде криптовалютні активи, замінюючи адреси гаманців і перехоплюючи транзакції.

Засновник Stress Capital GE (@GuarEmperor) детально розповів про це на X, зазначивши, що впровадження хакерського «викрадача буфера обміну» використовує два режими атаки—пасивно використовуючи алгоритм відстані Левенштейна для заміни адрес гаманців, які візуально схожі й тому надзвичайно важко виявити; активно підміняючи цільову адресу у виявленому браузером криптовалютному гаманці перед підписанням транзакції користувачем.

Оскільки ця атака була спрямована на бібліотеки базового рівня JavaScript-проектів, навіть проекти, які опосередковано залежать від цих бібліотек, можуть бути уражені.

Як хакер отримує прибуток?

Шкідливий код, впроваджений хакером, також розкрив їхні адреси для атак. Основна адреса хакера для атак в Ethereum — 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, кошти надходять переважно з наступних трьох адрес:

· 0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240

· x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B

· 0x30F895a2C66030795131FB66CBaD6a1f91461731

Команда Arkham створила сторінку відстеження для цієї атаки, де ви можете переглядати інформацію про прибутки та перекази хакера в реальному часі.

На момент написання статті, хакерська атака принесла лише $496, але враховуючи ще не визначений масштаб поширення шкідливого коду, очікується, що ця цифра може продовжити зростати—розробника вже повідомлено, і він активно співпрацює з командою безпеки NPM для вирішення проблеми. Шкідливий код було видалено з більшості уражених пакетів, тому ситуація під контролем.

Як зменшити ризик?

Засновник Defillama @0xngmi заявив, що, згідно з X, хоча ця подія може звучати небезпечно, фактичний вплив не такий масштабний—оскільки ця подія впливає лише на вебсайти, які оновлювалися після випуску ураженого пакета NPM, інші проекти продовжують використовувати стару версію; і більшість проектів фіксують свої залежності, тому навіть при оновленнях вони все одно використовують старий безпечний код.

Однак, оскільки кінцеві користувачі не можуть дійсно знати, чи проект зафіксував залежності або чи є у них динамічно завантажувані залежності, наразі важливо, щоб проект самостійно провів перевірку та зробив відповідне розкриття інформації.

На момент написання статті кілька проектів гаманців або додатків, включаючи MetaMask, Phantom, Aave, Fluid, Jupiter, вже повідомили, що не постраждали від цієї події. Тому теоретично користувачі можуть впевнено використовувати гаманці, які були підтверджені як безпечні, для безпечного доступу до протоколів, які також підтверджені як безпечні. Однак для гаманців або проектів, які ще не пройшли перевірку безпеки, тимчасове утримання від їх використання може бути безпечнішим підходом.