币态网网络安全公司Aikido Security的新研究显示,近期发生了一次严重的JavaScript供应链攻击,危及数百个软件包,其中至少有十个在加密生态系统中被广泛使用。
在周一发布的一篇文章中,Aikido Security的研究员Charlie Eriksen分享了400多个显示感染“Shai Hulud”自我复制恶意软件迹象的软件包名称,该恶意软件与正在进行的JavaScript NPM库供应链攻击有关。Eriksen表示,他对每个检测结果进行了验证,以确保准确性。
许多涉及加密货币的软件包每周下载量达到数万次,且有许多其他软件包依赖于它们的功能。Eriksen在今天早些时候发布的一篇帖子中还警告以太坊名称服务(ENS)团队,指出他们的几个软件包受到了影响。
Shai Hulud是更广泛供应链攻击趋势的一部分。今年九月初,报告的最大NPM攻击中,黑客窃取了5000万美元的加密货币。亚马逊网络服务指出,这次攻击发生后仅一周,Shai-Hulud蠕虫便开始自动传播。
尽管之前的攻击主要针对加密货币以窃取资产,但Shai-Hulud是一种通用的凭证窃取恶意软件,能够在开发者的基础设施中自动传播。如果感染的环境中包含钱包密钥,恶意软件将像其他凭证一样窃取它们作为“秘密”。
受影响的加密软件包
在所有受影响的软件包中,至少有十个与加密货币行业直接相关,几乎全部与ENS相关,这是一个人类可读的地址名称服务。受影响的软件包包括ENS的content-hash,每周下载量近36000次,91个软件包依赖于它,以及address-encoder,每周下载量超过37500次。
其他受影响的ENS软件包包括ensjs(每周下载量超过30000次)、ens-validation(每周下载量1750次)、ethereum-ens(每周下载量12650次)和ens-contracts(每周下载量近3100次)。一个与ENS无关的加密货币相关软件包,名为crypto-addr-codec,也受到影响,下载量近35000次。
受影响的热门非加密软件包
一些非加密相关的软件包也受到影响,包括由企业自动化平台Zapier提供的多个软件包,其中一个每周下载量超过40000次,其他软件包的下载量也相当可观。Eriksen在后续帖子中指出,其他被感染的软件包中,有些每周下载量接近70000次,还有一个软件包的下载量超过150万次。
Eriksen在社交媒体上表示:“这次新的Shai Hulud攻击的范围实在是太大了;我们仍在处理队列以确认所有情况。”他补充道:“这将使之前的攻击显得微不足道。”
网络安全公司Wiz的研究人员声称,已发现超过25000个受影响的存储库,涉及约350个独特用户,每30分钟就有1000个新存储库被持续添加。该公司建议“立即调查和修复”任何使用npm的环境。
