„Crypto Veatting“ kenkėjiškų programų infiltruoja pagrindines „JavaScript“ bibliotekas, kurias naudoja milijonai

NPM („Node Packet Manager“) kūrėjo „Qix“ sąskaita buvo pažeista, leidžianti įsilaužėliams paskelbti kenksmingas jo paketų versijas.

Užpuolikai paskelbė kenksmingus dešimčių ypač populiarių „JavaScript“ paketų, įskaitant pagrindines komunalines paslaugas, versijas. „Hack“ buvo didžiulė, nes paveiktose pakuotėse buvo daugiau nei 1 milijardas savaitinių atsisiuntimų.

Ši programinės įrangos tiekimo grandinės ataka konkrečiai nukreipta į „JavaScript/Node.js“ ekosistemą.

NPM tiekimo grandinės ataka

Populiarus „Dev Qix“ nukentėjo nuo sukčiavimo. Kenkėjiškas kodas, įšvirkštas į NPM paketus, dabar užgrobia kriptovaliutų operacijas pasirašant.

Atakos metodas:
• Kabliukų piniginės funkcijos (užklausa/siųsti)
• Mainų gavėjo adresai ETH/SOL operacijose
• Pakeičia … pic.twitter.com/jn9h4hwp8v

– Suktybės šnipštas | „Web3“ anti-Scam (@RealSCAMSNIFFER) 2025 m. Rugsėjo 8 d

„Crypto Clipper“ kenkėjiška programa

Kenkėjiškas kodas buvo „kriptovaliutas“, skirtas pavogti kriptovaliutą, keičiant piniginės adresus tinklo užklausose ir tiesiogiai užgrobiant kriptovaliutų operacijas. Jis taip pat buvo labai užmaskuotas, kad būtų išvengta aptikimo.

„Crypto Veating“ kenkėjiška programinė įranga turi du puolimo vektorius. Kai nerandama „Crypto Wallet“ plėtinys, kenkėjiškos programos perima visą tinklo srautą, pakeisdama naršyklės gimtąjį FETCH ir HTTP užklausų funkcijas su išsamiais užpuoliko valdomų piniginės adresų sąrašais.

Naudodamas sudėtingą adresų apsikeitimą, jame naudojami algoritmai, kad būtų galima rasti pakaitinius adresus, kurie atrodo vizualiai panašūs į teisėtus, todėl sukčiavimas beveik neįmanoma pastebėti plika akimi, sakė kibernetinio saugumo tyrinėtojai.

Jei randama kriptovaliutų piniginė, kenkėjiška programa prieš pasirašydama perima operacijas, o vartotojams inicijuojant operacijas, ji keičia jas atmintyje į peradresavimo fondus į užpuoliko adresus.

Atakos nukreiptos pakuotės, tokios kaip „kreida“, „Strip-Ansi“, „Color-Convert“ ir „Color-Name“, kurie yra pagrindiniai statybiniai blokai, palaidoti giliai daugybės projektų priklausomybės medžiuose.

Ataka buvo atsitiktinai aptikta, kai pastatymo vamzdynas nepavyko su „Fetch“ nėra apibrėžta klaida, nes kenkėjiška programinė įranga bandė ištremti duomenis, naudojant FETCH funkciją.

„Jei naudojate aparatūros piniginę, prieš pasirašydami atkreipkite dėmesį į kiekvieną operaciją, ir esate saugus. Jei nenaudojate aparatinės įrangos piniginės, kol kas nesigilinate į bet kokias grandinės operacijas”,-patarė „Ledger“ generalinis direktorius Charlesas Guillemet.

Dabartinio NPM hack paaiškinimas

Bet kurioje svetainėje, kurioje naudojama šia nulaužta priklausomybė, ji suteikia galimybę įsilaužėliams suleisti kenksmingą kodą, taigi, pavyzdžiui, kai svetainėje spustelėjate mygtuką „Keisti“, kodas gali pakeisti TX, išsiųstą į jūsų piniginę TX, siunčiant pinigus…

– 0xngmi (@0xngmi) 2025 m. Rugsėjo 8 d

Plataus atakos vektorius

Nors kenkėjiškos programos naudingas krovinys konkrečiai nukreiptas į kriptovaliutą, atakos vektorius yra daug platesnis. Tai daro įtaką bet kokiai aplinkai, kuriose veikia „JavaScript/Node.js“ programos, tokios kaip žiniatinklio programos, veikiančios naršyklėse, darbalaukio programos, serverio pusės „Node.js“ programos ir mobiliosios programos, naudojant „JavaScript“ sistemas.

Taigi įprastoje verslo žiniatinklio programoje nesąmoningai galėtų būti šie kenkėjiški paketai, tačiau kenkėjiška programinė įranga suaktyvėtų tik tada, kai vartotojai bendrauja su tos svetainės kriptovaliuta.

„UniSwap“ ir „Blockstream“ buvo vieni pirmųjų, kurie patikino vartotojus, kad jų sistemoms nekilo pavojus.

Kalbant apie NPM tiekimo grandinės atakos pranešimus:

„UniSwap“ programos nėra pavojaus

Mūsų komanda patvirtino, kad mes nenaudojame jokių pažeidžiamų paveiktų paketų versijų

Kaip visada, būkite budrūs

– „UniSwap Labs“ (@youwap) 2025 m. Rugsėjo 8 d