- Thông tin xác thực của người bảo trì bị xâm phạm đã cho phép thực hiện các bản cập nhật độc hại cho các gói NPM được sử dụng rộng rãi, với số lượt tải xuống vượt quá một tỷ.
- Các tải trọng lén lút sử dụng trình tải nhiều giai đoạn và mã hóa Base64, nhắm mục tiêu vào các đường ống CI và môi trường dành cho nhà phát triển.
- Tác động lan rộng đến hàng nghìn dự án hạ nguồn, mặc dù tình trạng trộm cắp trên chuỗi cho đến nay dường như chỉ giới hạn ở mức dưới 200 đô la.
- Hướng dẫn bảo mật nhấn mạnh đến Clear Signature, ví phần cứng có màn hình an toàn và quy trình xác thực NPM/CI chặt chẽ hơn.
Tin tức về một vi phạm chuỗi cung ứng NPM quy mô lớn khiến các nhà phát triển và người dùng tiền điện tử hoang mang sau khi tài khoản của một nhà bảo trì uy tín bị đánh cắp, cho phép các bản phát hành có cửa hậu xâm nhập vào hệ sinh thái JavaScript. Các cảnh báo công khai trên X cho biết các gói bị ảnh hưởng đã tích lũy được hơn tỷ lượt tải xuống trọn đời, nâng cao lợi ích cho các nhóm dựa vào sự phụ thuộc của JS trong ví, dApp, nền tảng SaaS và xây dựng đường ống.
Những lời bàn tán ban đầu đã đóng khung sự việc này như một diễn biến khác của việc đánh máy sai, nhưng các phân tích sau đó chỉ ra một mục tiêu xâm phạm thông tin xác thực của người bảo trì và việc xuất bản các mô-đun độc hại dưới những cái tên hợp pháp. Mặc dù dữ liệu đo từ xa cho đến nay cho thấy hạn chế trộm cắp trên chuỗi, phạm vi tiếp xúc nhấn mạnh tốc độ các vấn đề về chuỗi cung ứng nguồn mở có thể lan rộng sang môi trường tiền điện tử và doanh nghiệp.
Chuyện gì đã xảy ra và tại sao nó lại quan trọng
Các nhà lãnh đạo an ninh, bao gồm cả Giám đốc công nghệ của Ledger Charles Guillemet, đã cảnh báo rằng mã độc được thiết kế để lặng lẽ trao đổi địa chỉ ví tiền điện tử trong quá trình ký kết các luồng, có khả năng chuyển hướng tiền cho kẻ tấn công nếu người dùng không phát hiện ra sự thay đổi. Cảnh báo nhấn mạnh rằng bất kỳ dApp hoặc ví phần mềm tích hợp các gói JS bị xâm phạm có thể bị lộ, ngay cả khi ứng dụng không bao giờ xử lý trực tiếp các khóa.
Guillemet cũng nhắc lại các biện pháp tốt nhất dành cho người dùng cuối: tránh ký tên mù quángvà ưu tiên ví phần cứng có màn hình bảo mật hỗ trợ Clear Signature để địa chỉ đích cuối cùng được xác minh trên màn hình đáng tin cậy. Ví không có màn hình bảo mật hoặc hỗ trợ Clear Signing sẽ ở mức rủi ro tăng cao vì không có cách nào đáng tin cậy để xác thực thông tin chi tiết giao dịch từ đầu đến cuối.
Phạm vi, phạm vi và mục tiêu
Các nhà nghiên cứu theo dõi chiến dịch đã quan sát thấy các bản cập nhật có cửa hậu được lan truyền nhanh chóng trên biểu đồ phụ thuộc, chạm đến SaaS doanh nghiệp, công cụ dành cho nhà phát triển và thậm chí cả các dự án giáo dục. Các ước tính cho thấy rằng Hơn 4,500 dự án hạ nguồn đã tiếp nhận ít nhất một bản phát hành bị nhiễm trước khi người bảo trì khôi phục các phiên bản bị ảnh hưởng.
Các nhóm tại Wiz.io đã được đánh dấu hoạt động mạng bất thường bắt nguồn từ các đường ống CI ngay sau các lần va chạm thư viện thông thường—một manh mối ban đầu cho thấy các hành vi sau khi cài đặt hoặc thời gian xây dựng có thể liên quan. Những kẻ tấn công đã dựa vào phiên bản cẩn thận và những thay đổi tinh tế để hòa nhập vào chu kỳ phát hành thông thường và tránh gây ra lỗi phát hiện bất thường cơ bản.
Cách thức hoạt động của phần mềm độc hại
Chuỗi phần mềm độc hại được cho là đã dựa vào một nhiễm trùng nhiều giai đoạn chiến lược. Một bước sau khi cài đặt trông có vẻ vô hại đã tải xuống một trình tải nhẹ, sau đó trình tải này sẽ liên hệ với các miền do kẻ tấn công kiểm soát để tải xuống tải trọng giai đoạn hai. Để giảm thiểu khả năng bị phát hiện, URL và các khối dữ liệu đã bị làm tối nghĩa (ví dụ: Base64) và việc thực thi được kiểm soát bằng các kiểm tra có điều kiện.
Thay vì phá hủy dữ liệu công khai, giai đoạn thứ hai lấy mẫu biến môi trường và siêu dữ liệu hệ thống, chuẩn bị chỗ đứng và cho phép tải xuống tiếp theo. Các nhà điều tra cho biết bộ nạp có thể cài đặt dịch vụ nền liên tục theo hồ sơ người dùng, duy trì quyền truy cập sau khi xóa gói và khởi động lại.
Bất chấp cơ chế đáng báo động, các luồng trên chuỗi quan sát được liên kết với hoạt động này cho đến nay vẫn ở mức khiêm tốn—chỉ là một một số ít giao dịch có tổng giá trị dưới 200 đô la. Mẫu đó gợi ý về việc trinh sát và xây dựng tính kiên trì hơn là kiếm tiền ngay lập tức, mặc dù thiết kế rõ ràng hỗ trợ trộm cắp hoán đổi địa chỉ trong quy trình ký kết.
Phản ứng, chỉ số và biện pháp giảm thiểu
Wiz.io đã báo cáo thêm các chỉ số về sự xâm phạm trong các hệ thống CI phổ biến, bao gồm URL bị che khuất và các khối được mã hóa Base64 được nhúng trong nhật ký đường ống. Những phát hiện của họ đã thúc đẩy nhanh chóng bản vá lỗi tập lệnh đường ống, kiểm toán rộng rãi các mã thông báo NPM và thực thi chặt chẽ hơn về bảo mật người bảo trì trong các tổ chức bị ảnh hưởng.
Về phía nhà cung cấp, OKX Wallet tuyên bố rằng nền tảng của họ không bị ảnh hưởng. Công ty đã nhấn mạnh việc phát triển iOS/Android gốc cho ứng dụng di động của mình (hạn chế sự phụ thuộc vào JavaScript nhúng), sự cô lập giữa tiện ích mở rộng trình duyệt, ứng dụng web và các thành phần duyệt dApp, và thực hành phòng thủ chuyên sâu chẳng hạn như lưu trữ lạnh 95%, kho lưu trữ đa chữ ký bán ngoại tuyến, phát hiện mối đe dọa do AI điều khiển và xác thực 2 yếu tố (XNUMXFA) bắt buộc.
OKX cũng khuyến cáo người dùng phải cảnh giác với các tích hợp của bên thứ ba: kiểm tra cơ sở mã ví nếu có thể, và kiểm tra kỹ mọi giao dịch trước khi ký. Phản ứng của cộng đồng phần lớn là tích cực, lưu ý rằng giao tiếp rõ ràng, kịp thời giúp kiềm chế sự hoảng loạn và tập trung nỗ lực khắc phục trên toàn bộ hệ sinh thái.
Đối với người bảo trì và nhóm, các bước thực tế hiện bao gồm bật 2FA trên NPM, hạn chế và luân chuyển mã thông báo truy cập, phạm vi đặc quyền tối thiểu cho CI, ghim các phụ thuộc và xác minh tính toàn vẹn (tổng kiểm tra, nguồn gốc/SLSA nếu có), kiểm tra các tập lệnh sau khi cài đặtvà kiểm soát thoát trong môi trường xây dựng. Đối với người dùng cuối, ví phần cứng có màn hình bảo mật và Clear Signature vẫn là một sự bảo vệ đáng tin cậy chống lại việc thao túng địa chỉ bí mật.
Tập phim nêu bật cách một thỏa hiệp duy trì duy nhất có thể thác qua chuỗi cung ứng NPM, rà soát hàng ngàn dự án trong khi chỉ tạo ra những tín hiệu tài chính mờ nhạt. Giữa việc dàn dựng lén lút, chiến thuật kiên trì và kiểm duyệt phiên bản cẩn thận, những người bảo vệ phải đối mặt với một kẻ thù tinh vi - một kẻ thù ưu tiên phạm vi tiếp cận và độ bền. Sự cảnh giác liên tục, các khuyến cáo minh bạch và kiểm soát nhiều lớp từ phát triển đến ký kết sẽ là chìa khóa khi cuộc điều tra và dọn dẹp được tiến hành.
