Криптокошельки атакованы через npm и GitHub в рамках сложной цепочки поставок
Обнаружена масштабная и изощренная атака на цепочку поставок программного обеспечения, целенаправленно нацеленная на разработчиков в сфере криптовалют и блокчейна. Специалисты по безопасности компании ReversingLabs выявили вредоносную кампанию, проникшую в реестр пакетов npm и репозитории GitHub. Основная цель злоумышленников — похищение конфиденциальной информации, включая приватные ключи и сид-фразы от криптокошельков, путем распространения вредоносных пакетов, замаскированных под легитимные инструменты для разработки.
Методология атаки включает создание поддельных пакетов, имена которых тщательно имитируют названия популярных легальных библиотек, используемых в Web3 и крипторазработке. Эти пакеты, такие как "web3-login", "web3-core" и "web3-utils", загружаются в публичные репозитории. Как только разработчик по ошибке устанавливает такой пакет, выполняется вредоносный код. Он использует сложные методы обфускации, чтобы скрыть истинные намерения, одновременно активно сканируя систему жертвы на наличие файлов данных криптокошельков, расширений браузера и конфигурационных каталогов, связанных с такими кошельками, как MetaMask. Все обнаруженные учетные данные пересылаются на серверы, контролируемые злоумышленниками.
Данная кампания представляет собой значительную эскалацию угроз для цепочек поставок программного обеспечения, выходя за рамки обычной кражи данных и превращаясь в целенаправленную финансовую атаку. Злоумышленники демонстрируют глубокое понимание экосистемы криптовалютной разработки, эксплуатируя доверие, которое разработчики оказывают публичным репозиториям кода. Этот инцидент подчеркивает наличие критических уязвимостей в цепочках поставок открытого программного обеспечения и серьезные последствия их использования против конкретного финансового сектора.
Для снижения подобных рисков разработчикам и организациям необходимо внедрять строгие практики безопасности цепочек поставок. Это включает тщательную проверку источников пакетов, внедрение инструментов для создания реестра компонентов программного обеспечения (SBOM) и использование автоматизированного сканирования зависимостей на предмет угроз. Кибербезопасности сообществу необходимо усилить сотрудничество для оперативного выявления и отчетности о вредоносных пакетах, в то время как сопровождающим репозиториев требуется ужесточить процессы проверки безопасности, чтобы предотвратить первоначальное внедрение подобных угроз.
Текущая ситуация служит суровым напоминанием о том, что инфраструктура открытого исходного кода, будучи краеугольным камнем современной разработки, одновременно стала лакомой мишенью для высокомотивированных киберпреступников. Постоянная бдительность и проактивные меры защиты являются единственным способом противостоять этой растущей и финансово опасной тенденции.
