Масштабна кібератака сколихнула глобальну екосистему програмного забезпечення та поставила під загрозу мільйони криптокористувачів. Хакери зламали обліковий запис популярного розробника на npm, платформі, на якій працює більша частина Інтернету, і внесли шкідливі оновлення в широко використовувані бібліотеки коду.
Ці бібліотеки заховані глибоко в незліченних додатках і веб-сайтах. Разом вони завантажуються понад мільярд разів на тиждень. Такий масштаб робить це одним із найбільших компромісів у ланцюжку поставок програмного забезпечення, які коли-небудь бачили.
Нове шкідливе програмне забезпечення, націлене на криптовалютні транзакції
Шкідливий код націлений на транзакції з криптовалютою. Він працює двома способами.
По-перше, якщо гаманець не виявлено, зловмисне програмне забезпечення шукає криптоадреси на веб-сайті та замінює їх адресами, контрольованими зловмисником.
Він використовує хитрі трюки, щоб замінити їх на двійників, які візуально майже ідентичні. Це дозволяє користувачам легко пропустити перемикач.
По-друге, якщо присутній такий гаманець, як MetaMask , код активно змінює транзакції.
Коли користувач готується надіслати кошти, шкідливе програмне забезпечення перехоплює дані та замінює одержувача адресою зловмисника. Якщо користувач підписує без ретельної перевірки, його гроші зникають.
Кожен користувач криптовалюти може опинитися в зоні ризику
Атака почалася, коли обліковий запис npm розробника, відомого як Qix , був скомпрометований. Потім хакери опублікували нові версії десятків його пакетів, включаючи основні утиліти, згадані вище.
Розробники, які оновлювали свої проекти, підтягували ці отруєні версії автоматично. Будь-який веб-сайт або децентралізована програма, яка їх розгорнула, може несвідомо викрити своїх користувачів.
Злам був виявлений лише після того, як помилка збірки привернула увагу до дивного, нечитабельного коду всередині одного з оновлених пакетів.
Пізніше експерти з безпеки виявили, що це був складний “криптокліпер”, призначений для непомітного перенаправлення коштів.
Загроза особливо серйозна для тих, хто здійснює транзакції через веб-браузер. Якщо ви скопіювали адресу з сайту або підписали переказ без перевірки, ви можете опинитися в зоні ризику.
Головний технічний директор Ledger виступив із різким попередженням у соціальних мережах.
Що варто зробити вже зараз
Експерти рекомендують кілька термінових кроків для всіх власників криптовалют:
- Підтверджуйте адреси: завжди читайте повну адресу на екрані підтвердження вашого гаманця або апаратному пристрої перед підписанням.
- Призупиніть активність, якщо ви не впевнені: якщо ви використовуєте гаманець на основі браузера або програмного забезпечення, подумайте про те, щоб відкласти транзакції, доки не стане відомо більше.
- Перевіряйте останні дії: переглядайте попередні перенесення та схвалення. Якщо ви бачите щось підозріле, відкликайте схвалення та переведіть кошти на новий гаманець.
- Використовуйте тестові транзакції: надсилаючи на нову адресу, спочатку перекажіть невелику суму, щоб переконатися, що вона надійшла безпечно.
- Покладайтеся на апаратні гаманці: пристрої, які показують деталі транзакції на окремому екрані, залишаються найбезпечнішим варіантом.
Атака показує, наскільки крихкою може бути довіра до екосистеми програмного забезпечення з відкритим вихідним кодом . Один скомпрометований обліковий запис розробника дозволив хакерам проникнути небезпечний код у мільярди завантажень.
Цей інцидент розгортається досі. Шкідливі версії видаляються, але деякі з них можуть залишатися в мережі протягом кількох днів або тижнів. Найбезпечніший підхід – пильність.
Якщо ви використовуєте криптовалюту, уважно перевіряйте кожну транзакцію. Ще один погляд на адресу у вашому гаманці може бути різницею між безпекою та крадіжкою.
