Криптографічна атака вкрала $1,000, але швидке виявлення обмежило збитки

Широкомасштабна криптографічна атака, яка викликала паніку, вкрала всього $1,000 у користувачів

Згідно з даними Arkham Intelligence, нещодавно виявлена масштабна хакерська атака, націлена на JavaScript-код, з використанням шкідливого програмного забезпечення, змогла вкрасти всього $1,043 у криптовалюті.

Дослідники з кібербезпеки компанії Wiz опублікували аналіз “широкомасштабної” атаки на постачальницький ланцюг, повідомивши в блозі, що зловмисники використали соціальну інженерію для контролю над обліковим записом GitHub, що належить Qix (ДJosh Junon), розробнику популярних пакетів коду для JavaScript.

Зловмисники опублікували оновлення для деяких із цих пакетів, додавши шкідливий код, який активував APIs та інтерфейси криптогаманець, а також сканував транзакції криптовалюти для переписування адрес отримувачів та інших даних транзакцій.

Тривожним є те, що дослідники Wiz дійшли висновку, що 10% хмарних середовищ містять якісь версії шкідливого коду, і що 99% усіх хмарних середовищ використовують деякі пакети, на які націлені зловмисники, проте не всі ці хмарні середовища завантажили заражені оновлення.

Незважаючи на потенційний масштаб атаки, останні дані з Arkham свідчать про те, що гаманці зловмисників наразі отримали відносно скромну суму в $1,043.

Ця сума повільно зростала за останні кілька днів, включаючи перекази, переважно ERC-20 токенів, з індивідуальними транзакціями на суму від $1.29 до $436.

Така ж атака також поширилася за межі пакетів npm Qix, з оновленням від JFrog Security, яке виявило, що система управління базами даних DuckDB SQL була скомпрометована.

Це оновлення також підкреслило, що атака “виглядає як найбільша компрометація npm в історії”, акцентуючи на тривожному масштабі та обсязі атаки.

Такі атаки на постачальницький ланцюг програмного забезпечення стають дедалі поширенішими, повідомили дослідники Wiz Research у бесіді з Decrypt.

“Зловмисники усвідомили, що компрометація одного пакету або залежності може дати їм доступ до тисяч середовищ одночасно,” - зазначили вони. “Ось чому ми спостерігаємо стабільне зростання цих інцидентів, від шкідливого програмного забезпечення до захоплення пакета.”

Безумовно, за останні кілька місяців сталося численні схожі інциденти, включаючи вставки шкідливих запитів у розширення Ethereum ETHcode в липні, яке отримало понад 6,000 завантажень.

“Екосистема npm, зокрема, часто є цільовою, через свою популярність і залежність розробників від транситивних залежностей,” - зазначили дослідники Wiz, члени яких включають авторів блогу Wiz про атаку на Qix, Хілу Рамати, Гала Бенмоха та Даніеля Амінова.

Згідно з Wiz, останній інцидент підкреслює необхідність захисту розробницького процесу, і організаціям рекомендується підтримувати видимість по всьому постачальницькому ланцюгу програмного забезпечення, а також контролювати аномальну поведінку пакетів.

Це, очевидно, те, що багато організацій і суб`єктів робили у випадку атаки на Qix, яка була виявлена протягом двох годин після публікації.

Швидке виявлення було однією з основних причин, чому фінансові втрати внаслідок атаки залишилися обмеженими, проте дослідження Wiz вказує на те, що були й інші чинники.

“Зловмисний код був вузьконаправленим, щоб націлюватися на користувачів з конкретними умовами, що, ймовірно, зменшило його охоплення,” - зазначили вони.

Розробники також більш усвідомлюють такі загрози, додають дослідники Wiz, адже багато з них мають засоби захисту, щоб виявляти підозрілу активність до того, як вона призведе до серйозних ушкоджень.

“Завжди можливо, що ми побачимо затримані звіти про вплив, але, спираючись на те, що ми знаємо сьогодні,” - зазначили вони, - “швидке виявлення та заходи щодо усунення, здається, обмежили успіх зловмисників.”