Το Axios, μία από τις πιο δημοφιλείς βιβλιοθήκες JavaScript, ενδέχεται να έχει παραβιαστεί και να εμπλέκεται σε επίθεση πορτοφολιών κρυπτονομισμάτων. Οι επιθέσεις πακέτων npm γίνονται όλο και πιο συνηθισμένες, στοχεύοντας άμεσα έργα, προγραμματιστές και τελικούς χρήστες.
Ένα πακέτο npm του Axios δημοσιεύτηκε στην επίσημη βιβλιοθήκη JavaScript και αποσύρθηκε λίγες ώρες αργότερα. Εμπειρογνώμονες ασφαλείας on-chain αναχαίτισαν την επίθεση, η οποία ήταν ενεργή για περίπου τρεις ώρες.
Τα πακέτα npm παραβιάστηκαν μέσω των διαπιστευτηρίων του @jasonsaayman, καθώς οι ερευνητές εξακολουθούν να αναζητούν ενδείξεις ότι ο λογαριασμός έχει παραβιαστεί. Τα επηρεαζόμενα πακέτα εντοπίστηκαν ως [email protected] και [email protected].
Όπως ανέφερε νωρίτερα το Cryptopolitan, οι επιθέσεις npm συχνά στοχεύουν πορτοφόλια κρυπτονομισμάτων και είναι ιδιαίτερα επικίνδυνες για αποκεντρωμένα έργα με μεγάλες κρατήσεις ομάδας.
Τι συνέβη στην επίθεση npm του Axios;
Η StepSecurity ήταν μεταξύ των πρώτων που εντόπισαν το πρόβλημα. Δύο κακόβουλες εκδόσεις της βιβλιοθήκης HTTP client του Axios δημοσιεύτηκαν μέσω των παραβιασμένων διαπιστευτηρίων ενός κύριου συντηρητή του Axios, παρακάμπτοντας τη συνήθη διαδικασία δημοσίευσης στο GitHub.
Σύμφωνα με την StepSecurity, αυτή ήταν η πιο εξελιγμένη επίθεση εναντίον ενός ευρέως χρησιμοποιούμενου πακέτου npm κορυφαίας δεκάδας. Η κακόβουλη έκδοση του πακέτου εισάγει μια νέα εξάρτηση, [email protected], η οποία δεν εισάγεται στον πηγαίο κώδικα του axios. Η εξάρτηση εκτελεί ένα σενάριο μετά την εγκατάσταση, ενεργό σε όλα τα λειτουργικά συστήματα.
Μετά τη χρήση του npm, ο πελάτης μολύνεται με ένα dropper τρωικού απομακρυσμένης πρόσβασης, το οποίο διαθέτει έναν ενεργό διακομιστή και παραδίδει τα payloads. Το κακόβουλο λογισμικό επίσης διαγράφει τον εαυτό του και αντικαθιστά το ύποπτο .json με μια καθαρή έκδοση για να αποφύγει τον εντοπισμό.
Ποιοι τύποι έργων επηρεάστηκαν;
Τα πακέτα npm ήταν μεταξύ των πιο δημοφιλών, με έως και 100 εκατομμύρια εβδομαδιαίες λήψεις. Ωστόσο, σε αυτό το σημείο, δεν υπάρχουν αναφορές για μη εξουσιοδοτημένη κίνηση κρυπτονομισμάτων. Προηγουμένως, μια επίθεση npm οδήγησε σε απώλειες κρυπτονομισμάτων μόλις $1.000 από ασαφή tokens.
Ο μόνος τρόπος για να περιοριστούν τα κακόβουλα npm είναι να παρακολουθούνται οι εκδόσεις και να μην επιτρέπονται αυτοματοποιημένες αναβαθμίσεις ή να ελέγχονται οι νέες εκδόσεις για πιθανές κακόβουλες μεταφορτώσεις.
Οι ερευνητές ανακάλυψαν επίσης δύο επιπλέον κακόβουλα πακέτα που παραδίδουν payloads με τον ίδιο τρόπο – @shadanai/openclaw και @qqbrowser/openclaw-qbot. Η επίθεση ακολουθεί την κακόβουλη εισαγωγή κώδικα LiteLLM μετά από μόλις μία εβδομάδα.
Δεν υπάρχει αναφορά για έργα Web3 ή OpenClaw που επηρεάστηκαν ή για κλοπή κρυπτονομισμάτων, κατά τη διάρκεια της επίθεσης. Ωστόσο, εκδόθηκαν προειδοποιήσεις ότι οι επιθέσεις npm ενδέχεται πλέον να γίνουν η νόρμα, είτε μέσω κλεμμένων διαπιστευτηρίων είτε μη εξουσιοδοτημένων εκδοτών. Η απειλή ακολουθεί προηγούμενες προειδοποιήσεις για κακόβουλο κώδικα που χρησιμοποιεί την πλατφόρμα δεξιοτήτων OpenClaw.
Τα πακέτα δεν περιορίζονται σε έργα Web3 ή bot και ενδέχεται να επηρεάσουν οποιαδήποτε payloads συνδεδεμένα με πορτοφόλια κρυπτονομισμάτων. Η απώλεια εμπιστοσύνης στις εγκαταστάσεις npm και pip για Python ενδέχεται επίσης να διαβρώσει τη γενική εμπιστοσύνη στο οικοσύστημα βιβλιοθηκών, με εκκλήσεις για μια πιο ασφαλή διαδρομή μεταφόρτωσης.
Η χρήση παραγόντων AI μπορεί επίσης να οδηγήσει σε αδιάκριτη λήψη πακέτων, διαδίδοντας την απειλή. Οι πραγματικές επιπτώσεις στα πορτοφόλια κρυπτονομισμάτων μπορεί να μην είναι άμεσες, αλλά εξακολουθούν να εκθέτουν δυνητικά δεδομένα πορτοφολιού.
Η τράπεζά σας χρησιμοποιεί τα χρήματά σας. Εσείς παίρνετε τα ψίχουλα. Παρακολουθήστε το δωρεάν βίντεό μας για το πώς να γίνετε η δική σας τράπεζα
Πηγή: https://www.cryptopolitan.com/supply-chain-attack-axios-crypto-wallets/
