- Apdraudēti uzturētāja akreditācijas dati ļāva veikt ļaunprātīgus atjauninājumus plaši izmantotām NPM pakotnēm, kuru lejupielāžu skaits pārsniedza vienu miljardu.
- Slepenas vērtuma slodzes izmantoja daudzpakāpju ielādētājus un Base64 obfuskāciju, mērķējot uz CI cauruļvadiem un izstrādātāju vidēm.
- Ietekme aptvēra tūkstošiem pakārtoto projektu, lai gan līdz šim ķēdes zādzību apjoms, šķiet, ir mazāks par 200 USD.
- Drošības vadlīnijās ir uzsvērta skaidra parakstīšana, aparatūras maki ar drošiem ekrāniem un stingrāka NPM/CI akreditācijas datu higiēna.
Ziņas par a liela mēroga NPM piegādes ķēdes pārkāpums satricināja gan izstrādātājus, gan kriptovalūtu lietotājus pēc tam, kad, kā ziņots, tika nolaupīts cienījama uzturētāja konts, ļaujot JavaScript ekosistēmā ieplūst ar aizmugures durvīm izveidotām versijām. Publiski brīdinājumi X platformā liecināja, ka skartās pakotnes ir uzkrājušās vairāk nekā miljards lejupielāžu visā dzīves laikā, palielinot likmes komandām, kas paļaujas uz JS atkarībām makos, dApps, SaaS platformās un cauruļvadu veidošanā.
Sākotnējās baumas šo incidentu raksturoja kā vēl vienu pavērsienu pret typosquatting, taču turpmākā analīze norāda uz vairāk mērķtiecīga uzturētāja akreditācijas datu kompromitēšana un ļaunprātīgu moduļu publicēšanu ar likumīgiem nosaukumiem. Lai gan telemetrija līdz šim liecina, ka ierobežota zādzība ķēdē, iedarbības plašums uzsver, cik ātri atvērtā pirmkoda piegādes ķēdes problēmas var izplatīties kriptovalūtu un uzņēmumu vidē.
Kas notika un kāpēc tas ir svarīgi
Drošības vadītāji, tostarp Ledger tehniskais direktors Čārlzs Gilmē, brīdināja, ka ļaunprātīgais kods ir izstrādāts, lai klusi apmainīties ar kriptovalūtu maku adresēm parakstīšanas plūsmu laikā, potenciāli novirzot līdzekļus uzbrucējiem, ja lietotāji nespētu uztvert izmaiņas. Brīdinājumā tika uzsvērts, ka jebkurš dApp vai programmatūras maks, kas integrē kompromitētas JS pakotnes varētu tikt atklātas, pat ja pati lietotne nekad nav tieši apstrādājusi atslēgas.
Gilmē arī atkārtoti uzsvēra labāko praksi gala lietotājiem: izvairieties no parakstīšanās aklāsun dod priekšroku aparatūras makiem ar drošiem ekrāniem, kas atbalsta Clear Signing, lai galamērķa adrese tiktu pārbaudīta uzticamā displejā. Maki bez droša ekrāna vai Clear Signing atbalsta ir paaugstināts risks jo nav uzticama veida, kā pilnībā validēt darījuma informāciju.
Darbības joma, izplatība un mērķi
Pētnieki, kas sekoja kampaņai, novēroja, ka atjauninājumi aizmugurējās durvīm ātri izplatījās visā atkarību grafikā, skarot uzņēmumu SaaS, izstrādātāju rīkus un pat izglītības projektus. Aplēses liecina, ka 4,500+ lejupējo projektu pirms uzturētāji atcēla skartās versijas, tika uzņemta vismaz viena bojāta versija.
Komandas vietnē Wiz.io atzīmētas ar karodziņu neparasta tīkla darbība kas radās no CI cauruļvadiem neilgi pēc rutīnas bibliotēkas sabrukumiem — agrīna norāde, ka varētu būt iesaistīta uzvedība pēc instalēšanas vai izstrādes laikā. Uzbrucēji paļāvās uz rūpīga versiju veidošana un smalkas izmaiņas lai iekļautos normālos atbrīvošanas ciklos un izvairītos no pamata anomāliju noteikšanas ieslēgšanas.
Kā darbojās ļaunprātīgā lietderīgā slodze
Ziņots, ka ļaunprogrammatūras ķēde balstījās uz daudzpakāpju infekcija stratēģija. Labdabīgs pēcinstalēšanas solis ielādēja vieglu ielādētāju, kas pēc tam sazinājās ar uzbrucēju kontrolētiem domēniem, lai izgūtu otrās pakāpes vērtumu. Lai samazinātu atklāšanas līmeni, URL un datu blobi tika maskēti (piemēram, Base64), un izpildi ierobežoja nosacītas pārbaudes.
Tā vietā, lai atklāti iznīcinātu datus, otrajā posmā tika veikta izlase vides mainīgie un sistēmas metadati, sagatavojot atbalsta punktus un nodrošinot turpmākas lejupielādes. Izmeklētāji apgalvo, ka iekrāvējs varētu instalēt pastāvīgs fona pakalpojums zem lietotāja profila, pārdzīvojot pakotņu noņemšanu un saglabājot piekļuvi pēc atkārtotas palaišanas.
Neskatoties uz satraucošajiem mehānismiem, novērotās ķēdes plūsmas, kas saistītas ar darbību, līdz šim ir bijušas nelielas — tikai daži darījumi, kuru kopsumma ir mazāka par 200 ASV dolāriemŠis modelis vairāk liecina par izlūkošanu un neatlaidības veidošanu, nevis tūlītēju monetizāciju, lai gan dizains to nepārprotami atbalsta. zādzība, mainot adreses parakstīšanas darbplūsmās.
Atbildes reakcijas, indikatori un mazināšanas pasākumi
Wiz.io ziņoja par papildu kompromitācijas pazīmēm populārās CI sistēmās, tostarp apmulsināti URL un Base64 kodēti bloki iestrādāts cauruļvadu žurnālos. Viņu atklājumi pamudināja ātri cauruļvada skriptu ielāpi, plašas NPM žetonu revīzijas un stingrāka uzturētāju drošības ieviešana skartajās organizācijās.
Pārdevēja pusē OKX Wallet paziņoja, ka tā platforma netika ietekmētsUzņēmums izcēla vietējās iOS/Android izstrādes iespējas savai mobilajai lietotnei (ierobežojot paļaušanos uz iegulto JavaScript), izolāciju starp pārlūkprogrammas paplašinājumiem, tīmekļa lietotni un dApp pārlūkošanas komponentiem un padziļinātas aizsardzības prakses piemēram, 95 % aukstuma uzglabāšana, daļēji bezsaistes vairāku parakstu glabātuves, mākslīgā intelekta vadīta draudu noteikšana un obligāta 2FA.
OKX papildus mudināja lietotājus būt modriem attiecībā uz trešo pušu integrācijām: pārbaudīt maka kodu bāzes ja iespējams, un pirms parakstīšanas vēlreiz pārbaudiet katru darījumu. Sabiedrības reakcija lielākoties bija pozitīva, norādot, ka skaidra, savlaicīga komunikācija palīdz ierobežot paniku un koncentrēt atveseļošanas centienus visā ekosistēmā.
Uzturētājiem un komandām praktiski soļi tagad ietver 2FA iespējošana NPM, piekļuves žetonu ierobežošana un rotācija, CI vismazāko privilēģiju tvērumi, atkarību piesaiste un integritātes pārbaude (kontrolsummas, izcelsme/SLSA, ja pieejams), pēcinstalēšanas skriptu auditsun izejas kontroles veidošanas vidēs. Galalietotājiem aparatūras maki ar drošiem ekrāniem un skaidru parakstīšanu joprojām ir uzticams drošības spilvens pret slepenu adrešu manipulāciju.
Epizodē ir uzsvērts, kā var tikt panākts kompromiss starp vienu uzturētāju. kaskāde caur NPM piegādes ķēdi, ignorējot tūkstošiem projektu, vienlaikus radot tikai vājus finanšu signālus. Starp slepenu sagatavošanu stadijā, neatlaidības taktiku un rūpīgu versiju veidošanu aizstāvji saskaras ar smalku pretinieku — tādu, kas prioritāti piešķir sasniedzamībai un izturībai. Nepārtraukta modrība, pārredzami ieteikumi un slāņveida kontroles no izstrādes līdz parakstīšanai būs galvenais, turpinot izmeklēšanu un tīrīšanu.
