NPM Supply Chain napad: Kompromitiran avtor paketov z 2 milijardama tedenskih prenosov

Danes zjutraj je kibernetska skupnost doživela resen pretres – kompromitiran je bil razvijalec qix, avtor izjemno priljubljenih paketov chalk in debug-js, ki skupaj beležita več kot 2 milijardi prenosov na teden.

Kako se je napad začel?

Vse se je začelo z ciljanim phishing e-mailom, ki je prihajal iz lažne domene npmjs[.]help.
Napadalcem je uspelo ukrasti prijavne podatke in 2FA dostop, nato pa so v vse njegove pakete vgradili zlonamerno kodo.

Kaj je počel malware?

Zlonamerna koda je bila zasnovana kot crypto-stealer, ki je izvajal naslednje aktivnosti:

• “Hook”-al window.ethereum in Solana API-je
• Preusmerjal Ethereum transakcije na naslov 0xFc4a4858…
• Zamenjeval kripto naslove v JSON odgovorih s 280 hardkodiranimi naslovi

Kolikšna je bila škoda?

Finančni izkupiček napadalcev je bil presenetljivo majhen – nekaj centov v ETH in približno 20 USD v memecoin-ih.
Toda prava škoda se meri drugače:

• Ogroženi milijoni končnih uporabnikov
• Tisoče ur izgubljenega inženirskega dela
• Še višji varnostni stroški za podjetja in razvijalce

Kaj lahko storite, če uporabljate npm?

Če uporabljate npm, priporočamo naslednje korake:

1. Preverite node_modules za sumljivo kodo (grep -R 'checkethereumw').
2. Počistite npm cache z ukazom npm cache clean --force.
3. Dvakrat preverite naslove transakcij, ki jih podpisujete.

Orodja za preverjanje

Za pomoč pri preverjanju lahko uporabite naslednji skripti:

• Skripta 1
• Skripta 2