2022 年 9 月底,專門從事開源軟體分析的公司 Mend 的電腦安全研究員 Maciej Mensfeld 發現了多個 npm 包(多個 npm 套件)。這是 JavaScript Node.js 的預設套件管理器。
☠️ [請分享] 如果您使用@dydx
@npmjs軟體包,請勿將其更新至最新版本,因為它們已受到威脅:https://t.co/TDjBIQxwLihttps://t.co/9R3vRLJTU3他們竊取憑證並竊取敏感資料!#javascript #供應鏈 #網路安全 #開源 pic.twitter.com/TDtrylumMK
— Maciej Mensfeld (@maciejmensfeld)2022 年 9 月 23 日
顯然這些套件是由一名員工上傳到Github的dYdX,領先的加密貨幣交易平台。它們免費提供給所有網路使用者。 dYdX 是基於以太坊區塊鏈的領先去中心化交易協議之一。該服務記錄的每日交易額達 10 億美元。
經過調查,Maciej Mensfeld 發現這些 npm 套件之一存在於44 個去中心化金融平台與服務。顯然,它可能已被加密貨幣生態系統中的 44 個實體使用。受影響的平台包括基於區塊鏈的去中心化協議,例如 MetaSwap、kollat、Blockchain Store 甚至 Stakeverse(一個質押平台)。
竊取敏感數據
IT安全專家表示,注入npm套件的惡意程式碼旨在竊取用戶個人數據。部署後,程式碼將自動提取使用者識別資訊並將其傳輸到外部 IP 位址。有了這些敏感數據,攻擊者就有可能控制加密貨幣平台上的帳戶。考慮到 dYdX 已經收集了幾週的數據,這一點就更令人擔憂了掃描使用者的臉部作為其身份驗證過程的一部分。這些非常敏感的數據可能落入駭客手中。
對於 Mend 的專家來說,這顯然是一個問題供應鏈攻擊(供應鏈攻擊)。具體來說,攻擊者感染了軟體供應鏈的一個要素“訪問公司的開發系統 »”,Mend 在部落格文章中解釋道。
«儘管我們無法完全確認,但他們似乎能夠使用在不同攻擊中獲得的被盜 npm 帳戶,或透過執行帳戶接管»,對公司進行理論化。
Mend 研究人員聲稱,攻擊者從“盡可能謹慎,僅更新每個包的次要版本 »。這種伎倆使得駭客能夠在不被發現的情況下進行操作。不出所料,Mend 認為這次攻擊與加密貨幣 dYdX 的活動有關。我們認為該行動的目的是盜用加密資產平台的。
緊急部署修復
Maciej Mensfeld 立即與 dYdX 和 npm 團隊取得了聯繫。該軟體包的惡意版本立即被刪除。 dYdX 在其 Twitter 帳戶上發布了一份新聞稿,以安撫用戶。交易所規定已部署修復程式在緊急情況下:
“所有資金都是安全的。我們的網站/應用程式沒有受到損害。這次攻擊沒有影響智能合約。
提醒您,dYdX 不託管用戶資金,資金直接存入區塊鏈上的智慧合約。
— dYdX (@dYdX)2022 年 9 月 23 日
智能合約(智能合約)是在區塊鏈上執行操作的自動化電腦程式。這些協議是去中心化交易服務運作方式的核心。他們是管理用戶存入的加密貨幣的人。正如 dYdX 提醒我們的那樣,該平台«不託管用戶資金,直接存入區塊鏈上的智慧合約»。在這一點上,像 dYdX 這樣的去中心化交易所不同於 Binance、Coinbase 甚至 Crypto.com 等中心化基礎設施。這就是為什麼智能合約安全至關重要。
來源 : 修補