Flamingo Finance đã xác nhận rằng họ không bị ảnh hưởng bởi hai vụ xâm phạm chuỗi cung ứng gần đây trên npm. Vụ việc đầu tiên nhắm vào người dùng tiền điện tử bằng cách chèn mã độc chiếm đoạt ví vào 18 gói JavaScript được sử dụng rộng rãi.
Vài ngày sau, một chiến dịch riêng biệt đã xâm nhập hơn 40 gói phần mềm có chứa sâu tự sao chép.
Tấn công chuỗi cung ứng là gì?
Tấn công chuỗi cung ứng xảy ra khi mã độc được đưa vào các thành phần phần mềm mà nhiều bên khác đang sử dụng. Do các thư viện mã nguồn mở được sử dụng lại trên vô số dự án, một lỗ hổng duy nhất có thể lan rộng khắp hệ sinh thái.
Các phương pháp phát triển hiện đại chỉ làm tăng thêm rủi ro. Các ứng dụng thường dựa vào hàng trăm thư viện nhỏ do một vài cá nhân quản lý. Với việc mã hóa được hỗ trợ bởi AI tự động kéo thêm nhiều gói hơn, số lượng các phần phụ thuộc – và bề mặt tấn công – tiếp tục tăng lên.
Phần mềm độc hại hoạt động như thế nào
Trong sự cố tập trung vào tiền điện tử, kẻ tấn công đã chiếm quyền kiểm soát một tài khoản quản lý duy nhất, cung cấp quyền truy cập xuất bản vào npm, được sử dụng để đẩy mã độc. Sự cố đã được phát hiện bởi các công ty bảo mật Aikido và Socket, lưu ý rằng cuộc tấn công có thể đã ảnh hưởng đến hàng tỷ lượt tải xuống mỗi tuần.
Phần mềm độc hại đầu tiên sử dụng trình chặn dựa trên trình duyệt. Nó kết nối với các hàm cốt lõi như fetch , XMLHttpRequest và API ví, quét các yêu cầu chuyển tiền Máy ảo Ethereum (EVM) . Khi phát hiện giao dịch, nó âm thầm thay thế địa chỉ đích bằng địa chỉ do kẻ tấn công kiểm soát, sử dụng một địa chỉ tương tự để tránh gây nghi ngờ.
Con sâu được phát hiện vài ngày sau đó có mục đích khác. Nó thu thập token npm, khóa SSH và các thông tin xác thực khác từ môi trường nhà phát triển, sau đó tự phát tán trên các gói bổ sung. Mặc dù không nhắm trực tiếp vào tiền điện tử, nhưng nó cho thấy một lỗ hổng duy nhất có thể lan truyền nhanh chóng qua hệ thống đăng ký như thế nào.
Tác động đến người dùng tiền điện tử
Ban đầu, kẻ tấn công nhắm vào các ví tương thích với Ethereum như MetaMask. Mặc dù phạm vi của các gói tin bị xâm phạm rất rộng, hệ thống giám sát blockchain chỉ theo dõi được chưa đến 500 đô la Mỹ chảy vào địa chỉ của kẻ tấn công.
Các chuyên gia cho rằng việc phát hiện và phản ứng nhanh chóng có thể hạn chế được thiệt hại.
Flamingo Finance cho biết họ không bị ảnh hưởng vì Sàn phi tập trung (DEX) của họ không dựa vào luồng chuyển tiền Máy ảo Ethereum (EVM) trực tiếp. Thay vào đó, họ chỉ sử dụng Máy ảo Ethereum (EVM) cho các hoạt động xuyên chuỗi, điều mà phần mềm độc hại không hề khai thác.
Rủi ro về cấu trúc
Cả hai sự cố đều cho thấy sự mong manh của chuỗi cung ứng mã nguồn mở. Chỉ một thông tin đăng nhập bị đánh cắp có thể làm lộ hàng tỷ lượt tải xuống. Nhiều gói dữ liệu này được duy trì bởi các cá nhân hoặc nhóm rất nhỏ, không có đủ nguồn lực để chống lại các cuộc tấn công có chủ đích.
Các nhà nghiên cứu đã kêu gọi các biện pháp bảo vệ mạnh mẽ hơn, bao gồm khóa phần cứng bắt buộc cho người bảo trì, quyền xuất bản chặt chẽ hơn và chứng thực mật mã cho các bản phát hành mới. Nếu không có những thay đổi này, lừa đảo và đánh cắp thông tin đăng nhập sẽ vẫn là những điểm xâm nhập dễ dàng cho kẻ tấn công.
Giữ an toàn
Các bước phòng thủ dành cho nhà phát triển bao gồm thực thi xác thực được hỗ trợ bởi phần cứng, hạn chế quyền xuất bản, luân phiên thông tin xác thực, ghim phiên bản phụ thuộc và quét bản dựng để tìm điểm bất thường.
Việc áp dụng chứng nhận nguồn gốc trong quy trình CI/CD giúp giảm thiểu hơn nữa mức độ phơi nhiễm.
Người dùng cuối có thể giảm thiểu rủi ro bằng cách trì hoãn cập nhật cho đến khi các phiên bản mới được kiểm duyệt, giảm thiểu số lượng ứng dụng và tiện ích mở rộng được kết nối với ví và sử dụng ví phần cứng hoặc ví Đa chữ ký (Multi-SIG) cho số dư đáng kể.
