Два зловмисні релізи npm Axios спричинили попередження для розробників щодо ротації облікових даних і розгляду уражених систем як скомпрометованих після атаки на ланцюг постачання, яка отруїла популярну бібліотеку JavaScript для HTTP.
Про компрометацію вперше повідомила компанія з кібербезпеки Socket, яка заявила, що axios@1.14.1 і axios@0.30.4 були змінені, щоб підключити plain-crypto-js@4.2.1 — зловмисну залежність, яка запускалася автоматично під час встановлення до того, як релізи були видалені з npm.
За даними компанії з безпеки OX Security, змінений код може надавати зловмисникам віддалений доступ до інфікованих пристроїв, даючи їм змогу викрадати конфіденційні дані, зокрема облікові дані для входу, API-ключі та інформацію про криптогаманці.
Інцидент демонструє, як одна скомпрометована компонента з відкритим кодом потенційно може поширюватися хвилею через тисячі застосунків, які на неї покладаються, викриваючи не лише розробників, а й платформи та користувачів, підключених до системи.
Компанії з безпеки закликають до ротації ключів, аудиту систем
OX Security попередила розробників, які встановили axios@1.14.1 або axios@0.30.4, вважати свої системи повністю скомпрометованими та негайно виконати ротацію облікових даних, зокрема API-ключів і токенів сесій.
Socket заявила, що скомпрометовані релізи Axios були змінені, щоб містити залежність від plain-crypto-js@4.2.1 — пакета, опублікованого незадовго до інциденту та згодом ідентифікованого як зловмисний.
Пов’язане: __ Розширення Trust Wallet для браузера вибило з мережі через “bug” у Chrome Store, — каже CEO
Компанія повідомила, що залежність налаштована на автоматичний запуск під час встановлення через скрипт post-install, що дозволяє зловмисникам виконувати код на цільових системах без додаткової взаємодії користувача.
Socket порадила розробникам переглянути свої проєкти та файли залежностей на предмет уражених версій Axios і пов’язаного пакета plain-crypto-js@4.2.1 та негайно видалити або відкотити будь-які скомпрометовані версії.
Попередні криптоінциденти підкреслюють ризики ланцюга постачання
Попередні криптоінциденти показали, як порушення в ланцюгу постачання можуть ескалувати від викраденої інформації розробників до втрат гаманців, видимих для користувачів.
3 січня ончейн-дослідник ZachXBT повідомив, що “сотні” гаманців у мережах, сумісних із Ethereum Virtual Machine, були спустошені в широкомасштабній атаці, яка відкачувала невеликі суми з кожної жертви.
Дослідник з кібербезпеки Володимир С. заявив, що інцидент потенційно був пов’язаний із порушенням у грудні, яке вплинуло на Trust Wallet і призвело до приблизно $7 мільйонів втрат у межах понад 2,500 гаманців.
Пізніше Trust Wallet повідомив, що витік міг початися через компрометацію ланцюга постачання із залученням npm-пакетів, використаних у його робочому процесі розробки.
Журнал: __ Ніхто не знає, чи взагалі працюватиме квантово-стійка криптографія
Cointelegraph прагне незалежної та прозорої журналістики. Ця новинна стаття підготовлена відповідно до Редакційної політики Cointelegraph і має на меті надавати точну та своєчасну інформацію. Читачам рекомендується самостійно перевіряти інформацію. Прочитайте нашу Редакційну політику
- #Blockchain
- #Security
- #Hackers
- #Cybersecurity
- #Hacks
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
