- ข้อมูลประจำตัวผู้ดูแลระบบที่ถูกบุกรุกทำให้เกิดการอัปเดตที่เป็นอันตรายกับแพ็คเกจ NPM ที่ใช้กันอย่างแพร่หลาย โดยมียอดดาวน์โหลดเกินหนึ่งพันล้านครั้ง
- เพย์โหลดแบบซ่อนเร้นใช้ตัวโหลดหลายขั้นตอนและการเข้ารหัส Base64 โดยกำหนดเป้าหมายไปที่ท่อ CI และสภาพแวดล้อมของนักพัฒนา
- ผลกระทบแผ่ขยายไปยังโครงการต่อเนื่องหลายพันโครงการ แม้ว่าการโจรกรรมบนเครือข่ายจนถึงขณะนี้จะดูเหมือนจำกัดอยู่ที่ต่ำกว่า 200 ดอลลาร์ก็ตาม
- คำแนะนำด้านความปลอดภัยเน้นย้ำถึงการลงนามที่ชัดเจน กระเป๋าเงินฮาร์ดแวร์ที่มีหน้าจอที่ปลอดภัย และการรักษาสุขอนามัยข้อมูลรับรอง NPM/CI ที่เข้มงวดยิ่งขึ้น
ข่าวของ การละเมิดห่วงโซ่อุปทาน NPM ขนาดใหญ่ สร้างความตื่นตระหนกให้กับทั้งนักพัฒนาและผู้ใช้คริปโต หลังจากมีรายงานว่าบัญชีของผู้ดูแลระบบที่มีชื่อเสียงถูกแฮ็ก ทำให้มีการเผยแพร่แบบแบ็กดอร์ไหลเข้าสู่ระบบนิเวศ JavaScript คำเตือนสาธารณะบน X ระบุว่าแพ็กเกจที่ได้รับผลกระทบสะสมมานานกว่า ยอดดาวน์โหลดตลอดชีพพันล้านครั้งเพิ่มเดิมพันให้กับทีมที่ต้องพึ่งพา JS ในกระเป๋าเงิน dApps แพลตฟอร์ม SaaS และขั้นตอนการสร้าง
การสนทนาในช่วงแรกได้กล่าวถึงเหตุการณ์นี้ว่าเป็นการบิดเบือนข้อเท็จจริงอีกครั้ง แต่การวิเคราะห์ในเวลาต่อมาชี้ให้เห็นถึงสิ่งที่มากกว่านั้น การประนีประนอมข้อมูลประจำตัวของผู้ดูแลระบบแบบมีเป้าหมาย และการเผยแพร่โมดูลที่เป็นอันตรายภายใต้ชื่อที่ถูกต้องตามกฎหมาย ในขณะที่ข้อมูลทางไกลจนถึงปัจจุบันแสดงให้เห็น การโจรกรรมแบบจำกัดบนเครือข่ายขอบเขตของการเปิดรับข้อมูลเน้นย้ำว่าปัญหาห่วงโซ่อุปทานโอเพนซอร์สสามารถแพร่กระจายไปสู่สภาพแวดล้อมของการเข้ารหัสและองค์กรได้อย่างรวดเร็วเพียงใด
เกิดอะไรขึ้นและเหตุใดจึงสำคัญ
ผู้นำด้านความปลอดภัย รวมถึง Charles Guillemet CTO ของ Ledger ออกมาเตือนว่าโค้ดที่เป็นอันตรายได้รับการออกแบบมาเพื่อ แลกเปลี่ยนที่อยู่กระเป๋าเงินสกุลเงินดิจิทัลอย่างเงียบ ๆ ระหว่างขั้นตอนการลงนาม ซึ่งอาจเปลี่ยนเส้นทางเงินไปยังผู้โจมตีหากผู้ใช้ไม่สามารถจับการเปลี่ยนแปลงได้ คำเตือนเน้นย้ำว่า dApp หรือกระเป๋าเงินซอฟต์แวร์ที่รวมแพ็คเกจ JS ที่ถูกบุกรุก อาจถูกเปิดเผยแม้ว่าแอปจะไม่เคยจัดการคีย์โดยตรงก็ตาม
Guillemet ยังได้เน้นย้ำแนวทางปฏิบัติที่ดีที่สุดสำหรับผู้ใช้ปลายทางอีกด้วย: หลีกเลี่ยงการเซ็นชื่อแบบตาบอดและต้องการกระเป๋าสตางค์ฮาร์ดแวร์ที่มีหน้าจอความปลอดภัยที่รองรับ Clear Signing เพื่อให้ที่อยู่ปลายทางสุดท้ายได้รับการยืนยันบนหน้าจอที่เชื่อถือได้ กระเป๋าสตางค์ที่ไม่มีหน้าจอความปลอดภัยหรือการรองรับ Clear Signing อยู่ที่ ความเสี่ยงที่เพิ่มขึ้น เพราะไม่มีวิธีการที่เชื่อถือได้ในการตรวจสอบรายละเอียดธุรกรรมแบบครบวงจร
ขอบเขต การแพร่กระจาย และเป้าหมาย
นักวิจัยที่ติดตามแคมเปญดังกล่าวพบว่าการอัปเดตแบบ backdoor แพร่กระจายอย่างรวดเร็ว ครอบคลุมกราฟการพึ่งพา ครอบคลุมถึง SaaS ระดับองค์กร เครื่องมือสำหรับนักพัฒนา และแม้แต่โครงการด้านการศึกษา ประมาณการชี้ให้เห็นว่า โครงการดาวน์สตรีมมากกว่า 4,500 โครงการ ได้กินเวอร์ชันที่ปนเปื้อนอย่างน้อยหนึ่งเวอร์ชันก่อนที่ผู้ดูแลระบบจะย้อนกลับเวอร์ชันที่ได้รับผลกระทบ
ทีมงานที่ Wiz.io ได้ถูกทำเครื่องหมาย กิจกรรมเครือข่ายที่ผิดปกติ เกิดขึ้นจากไปป์ไลน์ CI ไม่นานหลังจากเกิดเหตุการณ์ไลบรารีแบบปกติ ซึ่งเป็นสัญญาณเบื้องต้นที่บ่งชี้ว่าพฤติกรรมหลังการติดตั้งหรือระหว่างการสร้างอาจมีส่วนเกี่ยวข้อง ผู้โจมตีอาศัย การกำหนดเวอร์ชันอย่างระมัดระวังและการเปลี่ยนแปลงที่ละเอียดอ่อน เพื่อผสมผสานเข้ากับรอบการเปิดตัวปกติและหลีกเลี่ยงการสะดุดของการตรวจจับความผิดปกติพื้นฐาน
เพย์โหลดที่เป็นอันตรายทำงานอย่างไร
รายงานระบุว่ากลุ่มมัลแวร์อาศัย การติดเชื้อหลายระยะ กลยุทธ์ ขั้นตอนหลังการติดตั้งที่ดูไม่เป็นอันตรายได้ดึงโหลดเดอร์น้ำหนักเบา ซึ่งจากนั้นจะเข้าถึงโดเมนที่ผู้โจมตีควบคุมเพื่อดึงเพย์โหลดขั้นที่สอง เพื่อลดการตรวจจับ URL และกลุ่มข้อมูลถูกทำให้คลุมเครือ (เช่น Base64) และการดำเนินการถูกควบคุมโดยการตรวจสอบตามเงื่อนไข
แทนที่จะทำลายข้อมูลอย่างเปิดเผย ขั้นตอนที่สองจะสุ่มตัวอย่าง ตัวแปรสภาพแวดล้อมและข้อมูลเมตาของระบบเตรียมพื้นที่และเปิดใช้งานการดาวน์โหลดต่อเนื่อง นักวิจัยกล่าวว่าตัวโหลดสามารถติดตั้ง บริการพื้นหลังถาวร ภายใต้โปรไฟล์ของผู้ใช้ การเอาแพ็คเกจออกและการรักษาการเข้าถึงข้ามการรีบูต
แม้จะมีกลไกที่น่าตกใจ แต่กระแสข้อมูลบนเชนที่สังเกตพบซึ่งเชื่อมโยงกับการดำเนินการนั้นยังอยู่ในระดับปานกลางจนถึงขณะนี้—เพียงแค่ ธุรกรรมจำนวนหนึ่งมีมูลค่ารวมต่ำกว่า 200 ดอลลาร์รูปแบบนั้นแสดงให้เห็นถึงการสำรวจและการสร้างความคงอยู่มากกว่าการสร้างรายได้ทันที แม้ว่าการออกแบบจะรองรับอย่างชัดเจน การขโมยการแลกเปลี่ยนที่อยู่ ในการลงนามเวิร์กโฟลว์
การตอบสนอง ตัวบ่งชี้ และการบรรเทา
Wiz.io รายงานตัวบ่งชี้เพิ่มเติมของการประนีประนอมในระบบ CI ยอดนิยม รวมถึง URL ที่คลุมเครือและบล็อกที่เข้ารหัส Base64 ฝังอยู่ในบันทึกท่อส่ง การค้นพบของพวกเขากระตุ้นให้เกิดการ แพตช์สคริปต์ไปป์ไลน์การตรวจสอบโทเค็น NPM อย่างละเอียด และการบังคับใช้มาตรการรักษาความปลอดภัยของผู้ดูแลระบบที่เข้มงวดยิ่งขึ้นในองค์กรที่ได้รับผลกระทบ
ทางด้านผู้ขาย OKX Wallet ระบุว่าแพลตฟอร์มของตน ไม่ได้รับผลกระทบบริษัทเน้นย้ำถึงการพัฒนา iOS/Android ดั้งเดิมสำหรับแอปพลิเคชันมือถือ (โดยจำกัดการพึ่งพา JavaScript ที่ฝังไว้) การแยกส่วนระหว่างส่วนขยายเบราว์เซอร์ แอปพลิเคชันเว็บ และส่วนประกอบการเรียกดู dApp และ การฝึกปฏิบัติเชิงป้องกันเชิงลึก เช่น การจัดเก็บแบบเย็น 95%, การเข้ารหัสแบบหลายลายเซ็นกึ่งออฟไลน์, การตรวจจับภัยคุกคามที่ขับเคลื่อนด้วย AI และ 2FA ที่บังคับใช้
นอกจากนี้ OKX ยังกระตุ้นให้ผู้ใช้คอยระมัดระวังในการผสานรวมกับบุคคลที่สาม: ตรวจสอบฐานรหัสกระเป๋าเงิน หากเป็นไปได้ และตรวจสอบธุรกรรมทุกครั้งก่อนลงนาม ปฏิกิริยาของชุมชนส่วนใหญ่เป็นไปในทางบวก โดยระบุว่า การสื่อสารที่ชัดเจนและทันท่วงที ช่วยควบคุมความตื่นตระหนกและมุ่งเน้นความพยายามในการแก้ไขทั่วทั้งระบบนิเวศ
สำหรับผู้ดูแลระบบและทีมงาน ขั้นตอนปฏิบัติจริงในปัจจุบันประกอบด้วย เปิดใช้งาน 2FA บน NPMการจำกัดและหมุนเวียนโทเค็นการเข้าถึง ขอบเขตสิทธิ์ขั้นต่ำสำหรับ CI การปักหมุดการอ้างอิงและการตรวจสอบความสมบูรณ์ (ผลรวมการตรวจสอบ แหล่งที่มา/SLSA หากมี) การตรวจสอบสคริปต์หลังการติดตั้งและการควบคุมการออกในสภาพแวดล้อมการสร้าง สำหรับผู้ใช้ปลายทาง กระเป๋าสตางค์ฮาร์ดแวร์ที่มีหน้าจอที่ปลอดภัยและการลงนามที่ชัดเจนยังคงเป็น แบ็คสต็อปที่เชื่อถือได้ ต่อต้านการจัดการที่อยู่ที่แอบแฝง
ตอนนี้จะเน้นถึงการที่ผู้ดูแลระบบเพียงคนเดียวสามารถประนีประนอมได้อย่างไร ไหลผ่านห่วงโซ่อุปทาน NPMกวาดล้างโครงการนับพันโครงการโดยให้สัญญาณทางการเงินเพียงเล็กน้อย ระหว่างการจัดฉากอย่างลับๆ กลยุทธ์การคงอยู่ และการกำหนดเวอร์ชันอย่างรอบคอบ ฝ่ายป้องกันต้องเผชิญกับศัตรูที่แยบยล ซึ่งให้ความสำคัญกับการเข้าถึงและความทนทาน ความระมัดระวังอย่างต่อเนื่อง คำแนะนำที่โปร่งใส และ การควบคุมแบบหลายชั้นตั้งแต่การพัฒนาจนถึงการลงนาม จะเป็นกุญแจสำคัญในการดำเนินกระบวนการสอบสวนและการทำความสะอาด
