"Tấn công Chuỗi cung ứng" thống trị tin tức chỉ sau một đêm: Chuyện gì đã xảy ra? Làm thế nào để giảm thiểu rủi ro?
Tác giả gốc: Azuma, Odaily Planet Daily
Vào ngày 9 tháng 9, giờ Bắc Kinh, Charles Guillemet, Giám đốc Công nghệ của Ledger , đã đăng một cảnh báo trên X, nêu rõ: "Một cuộc tấn công Chuỗi cung ứng quy mô lớn hiện đang diễn ra và tài khoản NPM của một nhà phát triển có tiếng đã bị xâm phạm. Các gói bị ảnh hưởng đã được tải xuống hơn 1 tỷ lần, điều này có nghĩa là toàn bộ hệ sinh thái JavaScript có thể gặp rủi ro."
Guillemet nói thêm: "Mã độc hoạt động bằng cách âm thầm can thiệp vào các địa chỉ crypto ở chế độ nền để đánh cắp tiền. Nếu bạn sử dụng ví phần cứng, vui lòng kiểm tra cẩn thận mọi giao dịch đã ký và bạn sẽ an toàn. Nếu bạn không sử dụng ví phần cứng, vui lòng tránh thực hiện bất kỳ giao dịch nào trên Chuỗi trong thời gian này. Hiện chưa rõ liệu kẻ tấn công có trực tiếp đánh cắp Cụm từ hạt giống của ví phần mềm hay không."
chuyện gì đã xảy ra thế?
Theo báo cáo bảo mật do Guillemet trích dẫn, nguyên nhân trực tiếp của sự cố lần là do tài khoản NPM của nhà phát triển có tiếng@qix đã bị hack, dẫn đến việc phát tán các phiên bản độc hại của hàng chục gói phần mềm, bao gồm chalk, strip-ansi và color-convert. Mã độc có thể đã lây lan sang thiết bị đầu cuối khi các nhà phát triển hoặc người dùng tự động cài đặt các phần mềm phụ thuộc.
Lưu ý hàng ngày: Dữ liệu tải xuống hàng tuần của các gói phần mềm bị xâm phạm.
Tóm lại, đây là một trường hợp điển hình của tấn công Chuỗi cung ứng - một cuộc tấn công trong đó kẻ tấn công chèn mã độc (chẳng hạn như các gói NPM) vào các công cụ phát triển hoặc hệ thống phụ thuộc. NPM, viết tắt của Node Package Manager, là công cụ quản lý gói được sử dụng phổ biến nhất trong hệ sinh thái JavaScript/Node.js. Các chức năng chính của nó bao gồm quản lý các gói phụ thuộc, cài đặt và cập nhật các gói, và chia sẻ mã.
Hệ sinh thái của NPM cực kỳ lớn, với hàng triệu gói phần mềm hiện đang có sẵn. Hầu như tất cả các dự án Web3, ví tiền crypto và công cụ front-end đều dựa vào NPM. Chính vì số lượng lớn các phụ thuộc NPM và Chuỗi phức tạp, đây là một điểm xâm nhập có nguy cơ cao cho các cuộc tấn công Chuỗi cung ứng. Chỉ cần kẻ tấn công cài mã độc vào một gói phần mềm phổ biến, nó có thể ảnh hưởng đến hàng nghìn ứng dụng và người dùng.
Như thể hiện trong sơ đồ luồng phát tán mã độc ở trên:
Một dự án (hộp màu xanh) phụ thuộc trực tiếp vào một số thư viện mã nguồn mở phổ biến, chẳng hạn như express.
Những phụ thuộc trực tiếp này (hộp xanh) lần lượt phụ thuộc vào những phụ thuộc gián tiếp khác (hộp vàng, chẳng hạn như lodash).
Nếu một phụ thuộc gián tiếp được kẻ tấn công bí mật cấy mã độc hại (hộp đỏ), mã độc này sẽ xâm nhập vào dự án dọc theo chuỗi phụ thuộc.
Điều này có ý nghĩa gì đối với crypto?
Mối liên quan trực tiếp của sự cố bảo mật này đối với ngành công nghiệp crypto nằm ở chỗ mã độc do tin hacker cấy vào gói phần mềm bị nhiễm độc nói trên là một "phần mềm chiếm đoạt bảng tạm crypto " tinh vi, chuyên đánh cắp tài sản crypto bằng cách thay thế địa chỉ ví và chiếm đoạt giao dịch.
Người sáng lập Stress Capital, GE (@GuarEmperor), đã giải thích chi tiết hơn về điều này trên X. "Kẻ chiếm đoạt clipboard" do hacker đưa vào sử dụng hai chế độ tấn công: chế độ thụ động sử dụng "thuật toán khoảng cách Levenshtein" để thay thế địa chỉ ví, cực kỳ khó phát hiện do có sự tương đồng về mặt hình ảnh; chế độ chủ động phát hiện ví crypto trong trình duyệt và giả mạo địa chỉ mục tiêu trước khi người dùng ký giao dịch.
Vì cuộc tấn công lần nhắm vào các thư viện lớp cơ sở của dự án JavaScript nên ngay cả các dự án gián tiếp dựa vào các thư viện này cũng có thể bị ảnh hưởng.
Hacker kiếm được bao nhiêu lợi nhuận?
Mã độc do hacker cài cắm cũng tiết lộ địa chỉ tấn công. Địa chỉ tấn công chính của hacker vào Ethereum là 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, và số tiền chủ yếu đến từ ba địa chỉ sau:
· 0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240
· x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B
· 0x30F895a2C66030795131FB66CBaD6a1f91461731
Arkham đã tạo ra một trang theo dõi cho cuộc tấn công lần , nơi người dùng có thể kiểm tra lợi nhuận và trạng thái chuyển tiền của hacker theo thời gian thực.
Tính đến bài viết này, hacker chỉ kiếm được 496 đô la từ vụ tấn công, nhưng xét đến mức độ lây lan của mã độc vẫn chưa được xác định, dữ liệu này dự kiến sẽ còn tăng. Nhà phát triển hiện đã được thông báo và đang tích cực làm việc với đội ngũ bảo mật NPM để giải quyết vấn đề. Mã độc hiện đã được gỡ bỏ khỏi hầu hết các gói bị ảnh hưởng, do đó tình hình đã được kiểm soát.
Làm thế nào để tránh rủi ro?
Người sáng lập Defillama @0xngmi Yu X cho biết mặc dù sự cố lần nghe có vẻ nguy hiểm nhưng tác động thực tế lại không quá nghiêm trọng - vì sự cố này chỉ ảnh hưởng đến các trang web đã đẩy bản cập nhật kể từ khi gói NPM bị tấn công được phát hành và các dự án khác vẫn sẽ sử dụng phiên bản cũ; và hầu hết các dự án sẽ sửa các phụ thuộc của họ, vì vậy ngay cả khi họ đẩy bản cập nhật, họ vẫn sẽ tiếp tục sử dụng mã bảo mật cũ.
Tuy nhiên, vì người dùng không thể thực sự biết liệu một dự án có các phụ thuộc cố định hay có một số phụ thuộc được tải xuống động hay không, nên bên dự án hiện được yêu cầu tự kiểm tra và tiết lộ thông tin này trước.
Tính đến bài đăng này, nhiều dự án ví hoặc ứng dụng, bao gồm MetaMask , Phantom , Aave , Fluid và Jupiter , đã tiết lộ rằng họ không bị ảnh hưởng bởi sự cố lần. Do đó, về mặt lý thuyết, người dùng có thể yên tâm sử dụng các ví bảo mật đã được xác nhận để truy cập các giao thức bảo mật đã được xác nhận. Tuy nhiên, đối với các ví hoặc dự án khác chưa công bố thông tin bảo mật, việc tạm thời tránh sử dụng chúng có thể an toàn hơn.
Twitter: https://twitter.com/BitpushNewsCN
Nhóm thảo luận BitPush TG: https://t.me/BitPushCommunity
Đăng ký Bitpush TG: https://t.me/bitpush
