Технічний директор Ledger б'є на сполох через атаку на ланцюг постачання NPM, спрямовану на користувачів криптовалют

Велика атака на ланцюг постачання сколихнула криптоекосистему, поставивши під загрозу користувачів по всьому світу. Технічний директор Ledger Шарль Гійоме б’є на сполох, закликаючи до обережності та використання апаратних гаманців.

Атака, яка почалася зі зламаного облікового запису Node Package Manager (NPM), вже вплинула на мільярди завантажень і поставила під загрозу безпеку мільйонів dApps і криптотранзакцій.

«Обліковий запис авторитетного розробника в NPM було скомпрометовано. Уражені пакети вже були завантажені понад 1 мільярд разів», — попередив Гійоме.

Він також пояснив, що шкідливе ПЗ діє як крипто-кліппер, непомітно перехоплюючи адреси гаманців під час транзакцій, щоб перенаправити кошти на гаманці зловмисника. Гійоме закликав користувачів бути особливо обережними, особливо тих, хто не використовує апаратні гаманці.

«Якщо ви використовуєте апаратний гаманець, уважно перевіряйте кожну транзакцію перед підписанням — і ви в безпеці. Якщо ні — утримайтеся від будь-яких on-chain транзакцій наразі», — порадив він.

NPM hack: Як сталася компрометація 

Згідно з повідомленнями, було скомпрометовано 18 популярних пакетів NPM, включаючи такі відомі пакети, як ‘chalk’, ‘debug’ і ‘strip-ansi’. Атака, яка відбулася 8 вересня, є однією з найбільших за останній час, вплинувши на бібліотеки із загальною кількістю понад 2 мільярди завантажень на тиждень.

Передбачається, що атака почалася з фішингового листа, який імітував офіційну підтримку NPM. Мішенню став Qix-, авторитетний розробник, чий обліковий запис у NPM було зламано, що дозволило зловмисникам впровадити шкідливі оновлення у популярні JavaScript-бібліотеки.

Після встановлення шкідливий код непомітно замінює скопійовані криптоадреси на схожі, які контролює хакер. Ця техніка, що використовує логіку відстані Левенштейна, вводить в оману необізнаних користувачів, змушуючи їх надсилати кошти на неправильні адреси.

Дослідники виділили одну основну адресу гаманця, пов’язану з атакою, хоча також були позначені додаткові гаманці, які, ймовірно, мають відношення до інциденту.

Хоча Шарль зазначив, що наразі неясно, чи зловмисник також безпосередньо викрадає seed-фрази програмних гаманців, останні звіти пролили світло на завдану шкоду. Дослідник Рані Хаддад класифікував гаманці зловмисника на Arkham як сутність під назвою NPM attack. Дані свідчать, що на момент публікації зловмисник зміг викрасти $497.96.

Гаманці зловмисника | Джерело: Arkham

Хоча прямий фінансовий ефект наразі незначний, потенційний масштаб є величезним, враховуючи популярність уражених пакетів.

Реакція спільноти та запобігання 

Ряд проєктів і протоколів, таких як Uniswap, SUI та Jupiter, підтвердили, що не постраждали, але закликали до обережності. Криптовалютні гаманці, такі як Ledger і MetaMask, запевнили користувачів у багаторівневих заходах безпеки.

Тим часом, атака на ланцюг постачання NPM була не єдиною великою подією безпеки 8 вересня. Швейцарська платформа криптобагатства SwissBorg повідомила про експлойт на $41 мільйон через партнерський API, що вплинуло на 1% користувачів. Крім того, проєкт Ethereum L2 Kinto оголосив про своє закриття після експлойту в липні, який вивів 577 ETH, залишивши команду без можливості залучити фінансування.

Ця хвиля атак свідчить про зростаючу складність криптозагроз. Надалі користувачам, розробникам і платформам необхідно впроваджувати більш безпечні практики та ретельні аудити пакетів.