Хакери додали бекдори щонайменше до 18 пакетів npm коду JavaScript — їхній шкідливий софт був націлений на викрадення криптовалюти Ethereum, Bitcoin, Solana та Tron. Як таке сталося.
Хакери додали бекдори щонайменше до 18 пакетів npm коду JavaScript — їхній шкідливий софт був націлений на викрадення криптовалюти Ethereum, Bitcoin, Solana та Tron. Як таке сталося.
Зловмисникам вдалося викрасти акаунти адміністратора цих пакетів Джоша Джунона (qix), який отримав фішингове електронне повідомлення з адреси [email protected], домену, на якому розміщений вебсайт, що видає себе за справжній сайт npmjs.com. Про це пише Bleeping Computer.
«Вибачте всім, я повинен був бути більш уважним. Це не схоже на мене; у мене був напружений тиждень. Я докладу зусиль, щоб це виправити», — написав Джунон.
Кілька інших розробників повідомили, що також отримали подібне повідомлення.
npm (Node Package Manager) — це менеджер пакунків для мови програмування JavaScript. Джош Джунон взяв участь у створенні щонайменше 80 пакетів npm на GitHub. Він визначив 18 пакетів, які були уражені — за його словами, атака була цілеспрямованою і націлена на пакети з великою кількістю завантажень.
Дослідник безпеки в Aikido Security Чарлі Еріксен повідомив, що компанія виявила атаку 8 вересня.
«Пакеті були оновлені, щоб містити фрагмент коду, який виконувався б на клієнті вебсайту, який непомітно перехоплює крипто- та web3-активність у браузері, маніпулює взаємодіями гаманця та переписує місця призначення платежів, щоб кошти та затвердження перенаправлялися на рахунки, контрольовані зловмисниками, без будь-яких очевидних ознак для користувача», — сказав Еріксен.
Повідомляється, що служба безпеки npm та інші адміністратори проєктів почали видаляти скомпрометований код протягом кількох годин після атаки. Ймовірно зловмисники не отримали жодних коштів від цієї атаки.
