JavaScript-leveranskedjeattack
En omfattande JavaScript-leveranskedjeattack har komprometterat hundratals mjukvarupaket, inklusive minst tio som används i stor utsträckning inom kryptovalutaekosystemet, enligt ny forskning från cybersäkerhetsföretaget Aikido Security. I ett inlägg på måndagen delade Charlie Eriksen, en forskare vid Aikido Security, namnen på över 400 paket som visar tecken på infektion med den självreplicerande skadliga programvaran ”Shai Hulud”, som används i en pågående JavaScript NPM-biblioteksleveranskedjeattack.
Infektion och påverkan
Eriksen bekräftade att han validerade varje upptäckte fall för att undvika falska positiva resultat. Många av de kryptovaluta-relaterade paketen som är involverade får tiotusentals nedladdningar per vecka och har många andra paket som krävs för att de ska fungera. I ett inlägg på X, publicerat tidigare idag, varnade Eriksen också Ethereum Name Service (ENS)-teamet för att flera av deras paket är påverkade.
”Omfattningen av denna nya Shai Hulud-attack är ärligt talat massiv; vi arbetar fortfarande igenom kön för att bekräfta allt,” skrev Eriksen på X. ”Det kommer att få den tidigare attacken att se ut som ingenting.”
Bakgrund och tidigare attacker
Shai Hulud är en del av en bredare trend av leveranskedjeattacker. I början av september inträffade den största NPM-attacken som rapporterats hittills, där hackare stjälde 50 miljoner dollar i kryptovaluta. Amazon Web Services noterade att denna första attack följdes av att Shai Hulud-masken spred sig autonomt bara en vecka senare. Medan den tidigare attacken direkt riktade sig mot kryptovaluta för att stjäla tillgångar, är Shai Hulud en allmän skadlig programvara för stöld av autentiseringsuppgifter som sprider sig autonomt över utvecklarinfrastruktur.
Påverkade kryptopaket
Bland de påverkade paketen var minst tio specifikt relaterade till kryptovalutaindustrin, och nästan alla var kopplade till ENS, en tjänst för läsbara adressnamn. Bland de påverkade paketen finns ENS:s innehållshash, som har nästan 36 000 veckovisa nedladdningar, samt 91 mjukvarupaket som är beroende av det, och address-encoder, med över 37 500 veckovisa nedladdningar.
Andra ENS-paket som påverkades inkluderar ensjs (över 30 000 veckovisa nedladdningar), ens-validation (1 750 veckovisa nedladdningar), ethereum-ens (12 650 veckovisa nedladdningar) och ens-contracts (nästan 3 100 veckovisa nedladdningar). Ett kryptovaluta-relaterat paket som inte är kopplat till ENS, kallat crypto-addr-codec, blev också komprometterat, med nästan 35 000 nedladdningar.
Rekommendationer och åtgärder
Populära icke-kryptopaket som påverkades inkluderar några som erbjuds av företagsautomatiseringsplattformen Zapier, inklusive ett med över 40 000 nedladdningar per vecka och flera andra som ligger nära i antal. Forskare vid cybersäkerhetsföretaget Wiz hävdar att de har ”upptäckt över 25 000 påverkade förråd över cirka 350 unika användare, med 1 000 nya förråd som läggs till konsekvent var 30:e minut under de senaste timmarna.” Företaget rekommenderar ”omedelbar utredning och åtgärd” för alla miljöer som använder npm.
