2022 年 9 月底,专门从事开源软件分析的公司 Mend 的计算机安全研究员 Maciej Mensfeld 发现了多个 npm 包(多个 npm 包)。这是 JavaScript Node.js 的默认包管理器。
☠️ [请分享] 如果您使用@dydx
@npmjs软件包,请勿将其更新到最新版本,因为它们已受到威胁:https://t.co/TDjBIQxwLihttps://t.co/9R3vRLJTU3他们窃取凭证并窃取敏感数据!#javascript #供应链 #网络安全 #开源 pic.twitter.com/TDtrylumMK
— Maciej Mensfeld (@maciejmensfeld)2022 年 9 月 23 日
显然这些包是由一名员工上传到Github的dYdX,领先的加密货币交易平台。它们免费提供给所有互联网用户。 dYdX 是基于以太坊区块链的领先去中心化交易协议之一。该服务记录的每日交易额达 10 亿美元。
经过调查,Maciej Mensfeld 发现这些 npm 包之一存在于44 个去中心化金融平台和服务。显然,它可能已被加密货币生态系统中的 44 个实体使用。受影响的平台包括基于区块链的去中心化协议,例如 MetaSwap、kollater、Blockchain Store 甚至 Stakeverse(一个质押平台)。
窃取敏感数据
IT安全专家表示,注入npm包的恶意代码旨在窃取用户个人数据。部署后,该代码将自动提取用户身份信息并将其传输到外部 IP 地址。有了这些敏感数据,攻击者就有可能控制加密货币平台上的帐户。考虑到 dYdX 已经收集了几周的数据,这一点就更令人担忧了扫描用户的面部作为其身份验证过程的一部分。这些非常敏感的数据可能落入黑客手中。
对于 Mend 的专家来说,这显然是一个问题供应链攻击(供应链攻击)。具体来说,攻击者感染了软件供应链的一个要素“访问公司的开发系统 »”,Mend 在博客文章中解释道。
«尽管我们无法完全确认,但他们似乎能够使用在不同攻击中获得的被盗 npm 帐户,或者通过执行帐户接管»,对公司进行理论化。
Mend 研究人员声称,攻击者从“尽可能谨慎,仅更新每个包的次要版本 »。这种伎俩使得黑客能够在不被发现的情况下进行操作。不出所料,Mend 认为这次攻击与加密货币 dYdX 的活动有关。我们认为该行动的目的是盗用加密资产平台的。
紧急部署修复
Maciej Mensfeld 立即与 dYdX 和 npm 团队取得了联系。该软件包的恶意版本立即被删除。 dYdX 在其 Twitter 帐户上发布了一份新闻稿,以安抚用户。交易所规定已部署修复程序在紧急情况下:
“所有资金都是安全的。我们的网站/应用程序没有受到损害。这次攻击没有影响智能合约。”
提醒您,dYdX 不托管用户资金,资金直接存入区块链上的智能合约。
— dYdX (@dYdX)2022 年 9 月 23 日
智能合约(智能合约)是在区块链上执行操作的自动化计算机程序。这些协议是去中心化交易服务运作方式的核心。他们是管理用户存入的加密货币的人。正如 dYdX 提醒我们的那样,该平台«不托管用户资金,直接存入区块链上的智能合约»。在这一点上,像 dYdX 这样的去中心化交易所不同于 Binance、Coinbase 甚至 Crypto.com 等中心化基础设施。这就是为什么智能合约安全至关重要。
来源 : 修补
