Aikido Security, tebeşir, hata ayıklama ve ANSI tarzları gibi 18 paketle enjekte edilen kod aracılığıyla kripto cüzdanlarını ele geçirmeye hacklenen en büyük NPM saldırısını işaretledi.
Aikido Security, şimdiye kadar kaydedilen en büyük NPM tedarik zinciri uzlaşması olabileceğini işaretledi. Olarak bilinen uzun güvenen bir bakıcının hesabı qix bir kimlik avı e -postası ile kaçırıldı ve 18 popüler paket kötü amaçlı kodla değiştirildi. Bu paketler, birlikte haftada iki milyardan fazla indirmeyi temsil eden tebeşir, hata ayıklama ve ANSI tarzlarını içerir.
İyi haber şu ki, tespit zamanlaması hasarı sınırlayacak kadar hızlıydı. Aikido’nun baş kötü amaçlı yazılım araştırmacısı Charlie Eriksen, saldırının beş dakika içinde tespit edildiğini ve bir saat içinde açıklandığını söyledi.
Bu olayı özellikle ciddi yapan şey, enjekte edilen kötü amaçlı yazılımın amacıdır. Kod, geliştirme ortamlarını veya sunucuları hedeflemek yerine, tarayıcıdaki kripto para birimi işlemlerine müdahale edecek şekilde tasarlanmıştır.
Araştırmacılara göre, kullanıcılar imzalamadan önce işlem verilerini değiştirerek Metamask, Phantom ve diğer cüzdan API’lerine bağlanır. Arayüz doğru alıcıyı gösterir, ancak fonlar saldırgan tarafından kontrol edilen adreslere yönlendirilir.
Kötü amaçlı yazılım ayrıca ağ trafiğini ve uygulama çağrılarını keser, Ethereum, Bitcoin, Solana, Tron, Litecoin ve Bitcoin Cash’deki formatları tanır ve daha sonra ikna edici benzer adreslerle yeniden yazar. Hem tarayıcı hem de API düzeyinde çalıştığından, hileli transferlerin meşru görünmesini sağlayabilir.
Meydan okulu paketlerin tam listesi uzundur, ancak en yaygın kullanılanlardan bazıları tebeşir (haftalık 300 milyon indirme), hata ayıklama (358 milyon) ve ANSI tarzları (371 milyon) yer almaktadır. Etkilenen diğer projeler, IS-Sayish gibi düşük seviyeli yardımcı programlardan Strip-ANSI gibi kütüphaneleri biçimlendirmeye kadar uzanmaktadır.
Birçok geliştirici için, bu paketler günlük JavaScript uygulamalarının temelinin bir parçasıdır, yani kötü niyetli sürümler zaten dünya çapında üretim sistemlerinde çalışabilir.
Bakıcı, Bluesky’de bir kimlik avı e -postası aldıktan sonra hesabının devralındığını doğruladı:[email protected]. ” Enfekte paketleri kaldırmaya başladığında, hesabına erişim kayboldu. Basit Swizzleen son güncelleme nedeniyle tehlikeye girin.
Aikido’nun hackread.com ile paylaşılan analizi, kodun son derece müdahaleci olduğunu gösteriyor, fetch– XMLHttpRequestve cüzdan API yöntemleri. Kullanıcının bilgisi olmadan varlıkları yeniden yönlendirerek işlem yüklerini, onayları ve hatta Solana’nın imza akışını değiştirir. Pratik açıdan, bu, bu paketlerden birini güncelleyen bir geliştiricinin, kullanıcıları Web3 uygulamalarıyla etkileşime girerken cüzdan kaçırmaya maruz bırakabileceği anlamına gelir.
Şimdilik, geliştiricilere bilinen güvenli sürümlere geri dönmeleri, yeni paket güncellemelerini denetlemeleri ve uygulamaları kripto para cüzdanlarıyla etkileşime giriyorsa işlemleri yakından izlemeleri önerilmektedir. Durum aktif olmaya devam ediyor ve Aikido artık resmi blogunda canlı güncellemeler yayınlıyor.