Кибератака на криптовалюту: украдено всего $1,043, но тревога сохраняется

Широкомасштабная кибератака на криптовалюту, вызвавшая панику, украла всего $1,000 у пользователей

Недавний масштабный хакинг, нацеленный на код JavaScript с использованием вредоносного ПО, который вызвал тревогу на этой неделе, смог украсть всего $1,043 в криптовалюте, согласно данным Arkham Intelligence.

Исследователи кибербезопасности из Wiz опубликовали анализ “широкомасштабной” атаки на цепочку поставок, написав в блоге, что злоумышленники использовали социальную инженерию, чтобы получить контроль над аккаунтом GitHub, принадлежащим Qix (Josh Junon), разработчику популярных пакетов кода для JavaScript.

Хакеры опубликовали обновления для некоторых из этих пакетов, добавив вредоносный код, который активировал бы API и интерфейсы криптокошельков, а также сканировал бы транзакции криптовалюты с целью переписывания адресов получателей и других данных транзакций.

Тревожным является то, что исследователи Wiz пришли к выводу, что 10% облачных сред содержат какую-либо версию вредоносного кода, и что 99% всех облачных сред используют некоторые из пакетов, на которые нацелились хакеры. Однако не все из этих облачных сред загружали инфицированные обновления.

Несмотря на потенциальный масштаб атаки, последние данные от Arkham предполагают, что кошельки злоумышленников до сих пор получили относительно скромную сумму в $1,043.

Эта сумма постепенно увеличивалась в последние пару дней, охватывая переводы, в основном ERC-20 токенов, где отдельные транзакции стоили от $1.29 до $436.

Та же атака распространилась за пределы пакетов npm Qix, с обновлением вчера от JFrog Security, которое подтвердило, что система управления базами данных DuckDB SQL также была скомпрометирована.

Это обновление также предположило, что атака “похоже, является крупнейшей компрометацией npm в истории”, подчеркивая тревожный масштаб и объем атаки.

Атаки на цепочку поставок программного обеспечения становятся все более распространенными, заявили исследователи Wiz Research Decrypt.

“Нападающие осознали, что компрометация одного пакета или зависимости может дать им доступ к тысячам сред одновременно”, - сказали они. “Вот почему мы наблюдаем постоянный рост этих инцидентов, от подмены имени до вредоносных захватов пакетов.”

Действительно, за последние несколько месяцев произошло множество подобных инцидентов, включая вставку вредоносных запросов на извлечение в расширение ETHcode Ethereum в июле, что вызвало более 6,000 загрузок.

“Экосистема npm в частности стала частой целью из-за своей популярности и того, как разработчики полагаются на транзитивные зависимости”, - сказали исследователи Wiz, члены которых включают авторов блога Wiz о взломе Qix, Хила Рамати, Гала Бенмоху и Даниэля Аминова.

Согласно Wiz, последний инцидент подчеркивает необходимость защиты процесса разработки, и организациям рекомендуется поддерживать видимость по всей цепочке поставок программного обеспечения, а также мониторить на предмет аномальной активности пакетов.

Похоже, что многие организации и структуры уже занимались этим в случае взлома Qix, который был обнаружен в течение двух часов после публикации.

Быстрое обнаружение стало одной из основных причин, почему финансовый ущерб от атаки остался ограниченным, однако исследование Wiz предполагает, что существовали и другие факторы.

“Нагрузка была узко нацелена на пользователей с определенными условиями, что, вероятно, сократило её воздействие,” - добавили они.

Исследователи Wiz подчеркивают, что разработчики также стали более осведомлены о таких угрозах, многие из которых уже имеют защиты, чтобы выявлять подозрительную активность до того, как она приведет к серьезному ущербу.

“Всегда возможно, что мы увидим задержанные отчеты о последствиях, но, основываясь на том, что мы знаем на сегодняшний день, быстрое обнаружение и усилия по устранению, похоже, ограничили успех нападающего,” - подытожили они.