A conta NPM comprometida de um desenvolvedor da Web desencadeou um ataque da cadeia de suprimentos em larga escala, mas o hacker só recebeu alguns centavos em criptografia, dizem os analistas.
Um hacker desconhecido conseguiu o que pode ser o maior ataque de cadeia de suprimentos de software de todos os tempos, mas ainda fez menos do que o preço de muitos memecoins.
Na segunda-feira, 8 de setembro, um hacker invadiu o relato de um conhecido desenvolvedor JavaScript conhecido como “Qix” e empurrou atualizações maliciosas para dezenas de ferramentas de software amplamente usadas para criar sites e aplicativos, que juntos são baixados mais de dois bilhões de vezes por semana.
Depois de obter acesso, o hacker adicionou código malicioso a todos os pacotes do desenvolvedor, que não era um vírus no sentido tradicional, mas ainda foi projetado para roubar criptomoedas das carteiras criptográficas dos usuários nos navegadores.
O ataque imediatamente causou o caos, pois as atualizações do desenvolvedor são geralmente confiáveis automaticamente; portanto, quando novas versões entram, muitos projetos e aplicativos os aceitam sem verificar, deixando o código do hacker se espalhar rapidamente.
Snir Levi, fundador e CEO da plataforma de conformidade e gerenciamento de ameaças Nominis, disse ao desafiador que a moderna cadeia de suprimentos de software é “incrivelmente interconectada”, pois uma única conta NPM comprometida pode cascata em cascata em milhares de projetos e empresas em minutos, porque a reutilização do código é o “backbone do ecossistema inteiro”. O NPM é um registro para pacotes de software JavaScript.
“As apostas não são apenas técnicas – um pacote malicioso em uma dependência crítica pode afetar milhões de usuários, mover bilhões de dólares e prejudicar a confiança na integridade da indústria. Esse incidente destaca que a segurança não é apenas proteger a infraestrutura; trata -se de proteger todos os links em uma vasta rede invisível de confiança”, explicou Levi.
O código malicioso, direcionando principalmente as transações do Ethereum e da Solana, foi criado para trocar endereços de destino para a carteira do hacker, escreveu a Aliança de Segurança em uma postagem no blog pós-ataque na segunda-feira.
Os especialistas em segurança cibernética dizem que o código também tentou reescrever endereços de criptografia dentro do tráfego da Web com os parecidos.
‘Fumble geracional’
Enquanto no papel o ataque foi catastrófico, em termos de perdas reais, a Aliança de Segurança diz que o hacker ganhou apenas US $ 0,05 em ETH e US $ 20 em um memecoin.
“Apesar da magnitude da violação, o atacante parece ter apenas ‘roubado’ cerca de 5 centavos de ETH e 20 USD de um memecoin com 588 dólares de volume comercial nas últimas 24 horas”, disse a Aliança de Segurança.
Comentando o ataque em um X Post, Samczsun, um hacker pseudônimo de chapéu branco e o fundador da Security Alliance, descreveu o incidente como um “fumble geracional, os gostos que provavelmente nunca mais veremos”.
Harry Donnelly, CEO da Digital Asset Recovery Company Circuit, sugeriu em comentários para o desafiador de que esse ataque está longe do último, pois existem “muitas dependências e vulnerabilidades na cadeia de suprimentos criptográfica”.
“Esse ataque é um exemplo de como algo tão pequeno quanto um pacote de código aberto instalado por um desenvolvedor pode criar um vetor de ataque não intencional. Ter medidas em vigor para responder a atividades maliciosas, mesmo que a carga útil seja substituída, é extremamente importante para impedir que os fundos sejam roubados”, acrescentou Donnelly.
Fontesthedefiant
