根据网络安全公司Aikido Security的新研究,一次重大的JavaScript供应链攻击已经危及数百个软件包,其中至少有10个在加密生态系统中被广泛使用。
在周一的一篇文章中,Aikido Security的研究员Charlie Eriksen 分享了400多个显示感染“Shai Hulud”自我复制恶意软件迹象的软件包名称,该恶意软件用于正在进行的JavaScript NPM库供应链攻击。Eriksen表示,他验证了每个检测结果以避免误报。
许多涉及加密货币的软件包每周下载量达数万次,并且有许多其他软件包需要它们才能运行。在今天早些时候发布的一篇X帖子中,Eriksen还警告以太坊名称服务(ENS)团队,他们的几个软件包受到了影响。
Shai Hulud是更广泛的供应链攻击趋势的一部分。今年九月初,迄今为止报告的最大NPM攻击中,黑客仅窃取了5000万美元的加密货币。亚马逊网络服务指出,这次首次攻击后仅一周,Shai-Hulud蠕虫就开始自动传播。
虽然之前的攻击直接针对加密货币以窃取资产,但Shai-Hulud是一种通用的凭证窃取恶意软件,能够在开发者基础设施中自动传播。如果感染的环境中包含钱包密钥,恶意软件将像其他凭证一样窃取它们作为“秘密”。
哪些加密软件包受到了影响?
在所有受影响的软件包中,至少有10个与加密货币行业直接相关,几乎全部与ENS相关,这是一个人类可读的地址名称服务。受影响的软件包包括ENS的content-hash,每周下载量近36000次,91个软件包依赖于它,以及address-encoder,每周下载量超过37500次。
其他受影响的ENS软件包包括ensjs(每周下载量超过30000次)、ens-validation(每周下载量1750次)、ethereum-ens(每周下载量12650次)和ens-contracts(每周下载量近3100次)。一个与ENS无关的加密货币相关软件包,名为crypto-addr-codec,也被攻破,下载量近35000次。
受影响的热门非加密软件包
受影响的非加密相关软件包包括由企业自动化平台Zapier提供的一些软件包,其中一个每周下载量超过40000次,其他的也不远。Eriksen在后续帖子中指出其他被感染的软件包,其中一些每周下载量接近70000次,还有另一个软件包每周下载量超过150万次。
“这次新的Shai Hulud攻击的范围实在是太大了;我们仍在处理队列以确认所有情况,”Eriksen在X上写道。
“这将使之前的攻击显得微不足道。”
网络安全公司Wiz的研究人员声称已经“发现超过25000个受影响的存储库,涉及约350个独特用户,每30分钟就有1000个新存储库被持续添加。”该公司建议“立即调查和修复”任何使用npm的环境。