Hacker đã sử dụng các trang web giả để đánh cắp một tài khoản npm đáng tin cậy và phát tán mã độc hại trên các gói phổ biến.
Ví crypto như MetaMask và Trust Wallet có thể gặp rủi ro nếu họ sử dụng các thư viện JavaScript bị nhiễm.
Người dùng nên ngừng ký giao dịch và kiểm tra tất cả các gói nếu ứng dụng của họ vừa được cập nhật qua npm.
Một cuộc tấn công chuỗi cung ứng lớn đã ảnh hưởng đến một tài khoản npm JavaScript được tin cậy rộng rãi. Các nhà nghiên cứu xác nhận mã độc đã lây nhiễm 18 gói phổ biến. Những gói này đã được tải xuống hơn 2 tỷ lần chỉ trong tuần qua. Các gói bị ảnh hưởng chứa mã có khả năng âm thầm hoán đổi địa chỉ ví crypto.
Cuộc tấn công này được thiết kế để chuyển hướng các giao dịch mà không có sự biết đến của người dùng. Ngay cả khi người dùng ký vào giao dịch trông đúng, thì tiền của họ vẫn có thể đi đến tay kẻ tấn công. Hệ sinh thái JavaScript đang gặp rủi ro do mức độ tích hợp sâu sắc của những gói này. Các nhà phát triển được khuyến cáo kiểm tra và loại bỏ ngay các phụ thuộc bị ảnh hưởng.
Ví Crypto và Hệ sinh thái gặp Rủi ro
Cuộc tấn công ảnh hưởng đến nhiều ví nổi tiếng trên trình duyệt và máy tính để bàn. Chẳng hạn như: MetaMask, Trust Wallet và Exodus. Ví cứng vẫn an toàn hơn, tuy nhiên, người dùng vẫn phải xác minh chi tiết giao dịch một cách cẩn thận. Kẻ tấn công sử dụng các địa chỉ ví giống hệt để lừa người dùng trong quá trình ký.
Chỉ có một kiểm tra chi tiết từng ký tự mới có thể phát hiện sự khác biệt. Hầu hết người dùng chỉ kiểm tra vài ký tự đầu và cuối của địa chỉ ví. Điều đó khiến họ dễ bị tổn thương trước các chiến thuật hoán đổi địa chỉ. Các script tự động và hợp đồng thông minh cũng gặp rủi ro nếu chúng phụ thuộc vào các thư viện bị xâm phạm.
Điểm vào là một tài khoản nhà phát triển bị xâm phạm
Sự vi phạm bắt đầu khi những kẻ tấn công giành quyền kiểm soát tài khoản của một người duy trì npm đáng tin cậy. Các nhà nghiên cứu tin rằng điều này được thực hiện bằng cách sử dụng lừa đảo và các thông báo xác thực hai yếu tố giả.
Gần đây, các nhà nghiên cứu an ninh mạng đã nhận thấy rằng các Hacker đã ẩn malware trong các hợp đồng thông minh Ethereum thông qua các gói NPM, sử dụng các URL blockchain để vượt qua các quét và cung cấp các payload giai đoạn hai. Những kẻ tấn công đã xây dựng các kho GitHub giả mạo với các cam kết giả và nhiều tài khoản để tăng độ tin cậy. Người dùng GitHub đã báo cáo về những email đáng ngờ giả mạo từ hỗ trợ npm.
Kẻ tấn công đã sử dụng một miền giả mạo trang web npm thật. Những email này đe dọa sẽ khóa tài khoản để buộc các nhà phát triển phải nhấp vào các liên kết lừa đảo. Khi tài khoản bị xâm phạm, nó đã được sử dụng để cập nhật nhiều gói với các payload độc hại. Một số gói đã được vá lại sau đó, nhưng những gói khác vẫn không an toàn.
Cảnh báo bảo mật và phản hồi của nhà phát triển
Các đội ngũ an ninh và nghiên cứu đang cảnh báo người dùng nên tránh hoạt động trên chuỗi tạm thời. Người dùng tiền điện tử nên tắt ví trình duyệt và ngừng ký các giao dịch tạm thời. Chưa có báo cáo thiệt hại lớn nào, nhưng rủi ro vẫn còn cao.
Một số nền tảng DeFi, bao gồm Axiom và Kamino, xác nhận rằng họ không sử dụng các gói nhiễm. Tuy nhiên, các nhà phát triển phải kiểm tra tất cả các phụ thuộc, đặc biệt là những phụ thuộc liên quan đến các thư viện phổ biến như Chalk. Loại lỗ hổng này cũng đã được ghi nhận vào năm 2024 khi các Hacker khai thác Lottie Player Java Script, làm tổn hại đến các ví trên các trang DeFi đáng tin cậy như 1inch.
Nhóm npm đã vô hiệu hóa các phiên bản bị xâm phạm đã biết, nhưng các bản cập nhật gần đây có thể vẫn mang theo rủi ro. Quy mô đầy đủ của cuộc tấn công vẫn chưa được biết. Mối đe dọa có thể mở rộng nếu nhiều tài khoản nhà phát triển khác bị nhắm đến bằng cách sử dụng các chiến thuật lừa đảo tương tự.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Tài khoản NPM đáng tin cậy bị đánh cắp để phát tán mã độc gây nguy hiểm cho các giao dịch Tiền điện tử và Ví tiền A...
Hacker đã sử dụng các trang web giả để đánh cắp một tài khoản npm đáng tin cậy và phát tán mã độc hại trên các gói phổ biến.
Ví crypto như MetaMask và Trust Wallet có thể gặp rủi ro nếu họ sử dụng các thư viện JavaScript bị nhiễm.
Người dùng nên ngừng ký giao dịch và kiểm tra tất cả các gói nếu ứng dụng của họ vừa được cập nhật qua npm.
Một cuộc tấn công chuỗi cung ứng lớn đã ảnh hưởng đến một tài khoản npm JavaScript được tin cậy rộng rãi. Các nhà nghiên cứu xác nhận mã độc đã lây nhiễm 18 gói phổ biến. Những gói này đã được tải xuống hơn 2 tỷ lần chỉ trong tuần qua. Các gói bị ảnh hưởng chứa mã có khả năng âm thầm hoán đổi địa chỉ ví crypto.
Cuộc tấn công này được thiết kế để chuyển hướng các giao dịch mà không có sự biết đến của người dùng. Ngay cả khi người dùng ký vào giao dịch trông đúng, thì tiền của họ vẫn có thể đi đến tay kẻ tấn công. Hệ sinh thái JavaScript đang gặp rủi ro do mức độ tích hợp sâu sắc của những gói này. Các nhà phát triển được khuyến cáo kiểm tra và loại bỏ ngay các phụ thuộc bị ảnh hưởng.
Ví Crypto và Hệ sinh thái gặp Rủi ro
Cuộc tấn công ảnh hưởng đến nhiều ví nổi tiếng trên trình duyệt và máy tính để bàn. Chẳng hạn như: MetaMask, Trust Wallet và Exodus. Ví cứng vẫn an toàn hơn, tuy nhiên, người dùng vẫn phải xác minh chi tiết giao dịch một cách cẩn thận. Kẻ tấn công sử dụng các địa chỉ ví giống hệt để lừa người dùng trong quá trình ký.
Chỉ có một kiểm tra chi tiết từng ký tự mới có thể phát hiện sự khác biệt. Hầu hết người dùng chỉ kiểm tra vài ký tự đầu và cuối của địa chỉ ví. Điều đó khiến họ dễ bị tổn thương trước các chiến thuật hoán đổi địa chỉ. Các script tự động và hợp đồng thông minh cũng gặp rủi ro nếu chúng phụ thuộc vào các thư viện bị xâm phạm.
Điểm vào là một tài khoản nhà phát triển bị xâm phạm
Sự vi phạm bắt đầu khi những kẻ tấn công giành quyền kiểm soát tài khoản của một người duy trì npm đáng tin cậy. Các nhà nghiên cứu tin rằng điều này được thực hiện bằng cách sử dụng lừa đảo và các thông báo xác thực hai yếu tố giả.
Gần đây, các nhà nghiên cứu an ninh mạng đã nhận thấy rằng các Hacker đã ẩn malware trong các hợp đồng thông minh Ethereum thông qua các gói NPM, sử dụng các URL blockchain để vượt qua các quét và cung cấp các payload giai đoạn hai. Những kẻ tấn công đã xây dựng các kho GitHub giả mạo với các cam kết giả và nhiều tài khoản để tăng độ tin cậy. Người dùng GitHub đã báo cáo về những email đáng ngờ giả mạo từ hỗ trợ npm.
Kẻ tấn công đã sử dụng một miền giả mạo trang web npm thật. Những email này đe dọa sẽ khóa tài khoản để buộc các nhà phát triển phải nhấp vào các liên kết lừa đảo. Khi tài khoản bị xâm phạm, nó đã được sử dụng để cập nhật nhiều gói với các payload độc hại. Một số gói đã được vá lại sau đó, nhưng những gói khác vẫn không an toàn.
Cảnh báo bảo mật và phản hồi của nhà phát triển
Các đội ngũ an ninh và nghiên cứu đang cảnh báo người dùng nên tránh hoạt động trên chuỗi tạm thời. Người dùng tiền điện tử nên tắt ví trình duyệt và ngừng ký các giao dịch tạm thời. Chưa có báo cáo thiệt hại lớn nào, nhưng rủi ro vẫn còn cao.
Một số nền tảng DeFi, bao gồm Axiom và Kamino, xác nhận rằng họ không sử dụng các gói nhiễm. Tuy nhiên, các nhà phát triển phải kiểm tra tất cả các phụ thuộc, đặc biệt là những phụ thuộc liên quan đến các thư viện phổ biến như Chalk. Loại lỗ hổng này cũng đã được ghi nhận vào năm 2024 khi các Hacker khai thác Lottie Player Java Script, làm tổn hại đến các ví trên các trang DeFi đáng tin cậy như 1inch.
Nhóm npm đã vô hiệu hóa các phiên bản bị xâm phạm đã biết, nhưng các bản cập nhật gần đây có thể vẫn mang theo rủi ro. Quy mô đầy đủ của cuộc tấn công vẫn chưa được biết. Mối đe dọa có thể mở rộng nếu nhiều tài khoản nhà phát triển khác bị nhắm đến bằng cách sử dụng các chiến thuật lừa đảo tương tự.