Storskalig hackning av JavaScript-kod
En storskalig hackning som riktade sig mot JavaScript-kod med skadlig programvara och som väckte larm tidigare denna vecka har lyckats stjäla endast $1,043 i kryptovaluta, enligt data från Arkham Intelligence.
Leveranskedjeattack och social ingenjörskonst
Cybersäkerhetsforskare på Wiz publicerade en analys av en ”omfattande” leveranskedjeattack igår, där de i ett blogginlägg skrev att illvilliga aktörer använde social ingenjörskonst för att få kontroll över ett GitHub-konto som tillhör Qix (Josh Junon), en utvecklare av populära kodpaket för JavaScript.
Hackarna publicerade uppdateringar för några av dessa paket, där de lade till skadlig kod som aktiverade API:er och kryptovaluta-plånboksgränssnitt, samt skannade efter kryptovalutatransaktioner för att skriva om mottagaradresser och annan transaktionsdata.
Omfattningen av attacken
Alarmerande nog drar Wiz:s forskare slutsatsen att 10% av molnmiljöerna innehåller någon form av den skadliga koden, och att 99% av alla molnmiljöer använder några av de paket som hackarna riktade sig mot – men inte alla dessa molnmiljöer skulle ha laddat ner de infekterade uppdateringarna.
Trots den potentiella omfattningen av exploateringen tyder de senaste uppgifterna från Arkham på att hotaktörernas plånböcker hittills har mottagit den relativt blygsamma summan av $1,043. Detta har ökat gradvis under de senaste dagarna, med överföringar som mestadels omfattar ERC-20-tokens, där individuella transaktioner är värda mellan $1.29 och $436.
Exploateringens spridning
Denna exploatering har också expanderat bortom Qix:s npm-paket, med en uppdatering igår från JFrog Security som avslöjade att DuckDB SQL-databashanteringssystemet har blivit komprometterat. Denna uppdatering föreslog också att exploateringen ”verkar vara den största npm-kompromissen i historien”, vilket belyser den alarmerande omfattningen och räckvidden av attacken.
”Angripare har insett att en kompromiss av ett enda paket eller beroende kan ge dem räckvidd till tusentals miljöer på en gång,” sa Wiz Research-forskare till Decrypt.
Ökande hot och skyddsåtgärder
Faktum är att de senaste månaderna har bevittnat många liknande incidenter, inklusive införandet av skadliga pull requests i Ethereums ETHcode-tillägg i juli, som fick över 6,000 nedladdningar. ”npm-ekosystemet har särskilt varit ett frekvent mål på grund av sin popularitet och det sätt på vilket utvecklare förlitar sig på transitiva beroenden,” sa Wiz Research.
Enligt Wiz förstärker den senaste incidenten behovet av att skydda utvecklingspipeline, med organisationer som uppmanas att upprätthålla synlighet över hela mjukvaruleveranskedjan, samtidigt som de övervakar för avvikande paketbeteende.
Den snabba upptäckten av Qix-exploateringen, som upptäcktes inom två timmar efter publicering, var en av de främsta anledningarna till att exploateringens ekonomiska skada förblir begränsad. Wiz Research föreslår att det fanns andra faktorer i spel.
”Lasten var snävt utformad för att rikta sig mot användare med specifika villkor, vilket sannolikt minskade dess räckvidd,” sa de.
Utvecklare är också mer medvetna om sådana hot, tillägger Wiz:s forskare, med många som har skydd på plats för att fånga misstänkt aktivitet innan det resulterar i allvarlig skada. ”Det är alltid möjligt att vi kommer att se fördröjda rapporter om påverkan, men baserat på vad vi vet idag,” sa de, ”verkar den snabba upptäckten och nedstängningsinsatserna ha begränsat angriparens framgång.”
