सोमवार को एक फ़िशिंग ईमेल ने नोड.जेएस के सबसे विपुल डेवलपर्स में से एक को दुर्भावनापूर्ण कोड को पैकेज में धकेलते हुए सप्ताह में अरबों बार डाउनलोड किया, जो शोधकर्ताओं ने हाल के दिनों में सबसे बड़े सॉफ्टवेयर सप्लाई-चेन हमले को कॉल किया।

जबकि हमले का दायरा बड़े पैमाने पर है, सुरक्षा गठबंधन ने कहा मंगलवार रिपोर्ट कि हमलावर मुश्किल से कुछ सेंट के साथ चला गया। हालांकि, सुरक्षा टीमों को अब आगे के हमलों का मुकाबला करने के लिए बैकएंड सिस्टम को अपडेट करने की पर्याप्त लागत का सामना करना पड़ता है।

एक बहुत लोकप्रिय अनुचर जिसका काम (चाक और डिबग-जेएस की तरह) हर हफ्ते अरबों डाउनलोडों में उपयोग किया जाता है, जिसे “QIX” के रूप में जाना जाता है, जैसे कि चाक और डिबग-जेएस जैसे पुस्तकालयों के लिए जिम्मेदार, पिछले सप्ताह समर्थन@npmjs (।) सहायता से एक ईमेल प्राप्त करने के बाद समझौता किया गया था। डोमेन ने एक बार एक रूसी सर्वर की ओर इशारा किया और सामग्री वितरण नेटवर्क बनीसीडीएन पर होस्ट किए गए एक स्पूफेड टू-फैक्टर ऑथेंटिकेशन पेज पर पुनर्निर्देशित किया।

क्रेडेंशियल स्टीलर ने रिमोट होस्ट में भेजने से पहले उपयोगकर्ता नाम, पासवर्ड और 2FA कोड काटा। पूर्ण पहुंच के साथ, हमलावर ने क्रिप्टो-केंद्रित पेलोड के साथ प्रत्येक QIX पैकेज को पुनर्प्रकाशित किया।

नोड पैकेज मैनेजर (छोटा किया गया ( एनपीएम, एनपीएम नहीं) डेवलपर्स के लिए एक ऐप स्टोर की तरह है और वह जगह है जहां कोडर्स कोड के छोटे बिल्डिंग ब्लॉक डाउनलोड करते हैं (पैकेज कहा जाता है) खरोंच से सब कुछ लिखने के बजाय। एक अनुचर वह व्यक्ति या इकाई है जो उन पैकेजों को बनाता और अपडेट करता है।

हमला कैसे हुआ

इंजेक्टेड कोड सरल था। यह जाँच की गई कि क्या Window.Ethereum मौजूद था और यदि हां, तो Ethereum के मुख्य लेनदेन कार्यों में झुका हुआ है। अनुमोदन, परमिट, ट्रांसफर, या ट्रांसफरफ्रॉम के लिए कॉल को चुपचाप एक ही बटुए में फिर से तैयार किया गया, “0xFC4A4858BAFEF54D1B1D7697BFB5C52F4C166976।”

मूल्य के साथ कोई भी एथेरियम लेनदेन और कोई डेटा भी पुनर्निर्देशित नहीं किया गया था। सोलाना के लिए, मैलवेयर ने एक अमान्य स्ट्रिंग के साथ प्राप्तकर्ताओं को “1911 …” की शुरुआत की, जो कि एकमुश्त स्थानान्तरण को तोड़ता है।

नेटवर्क अनुरोध भी इंटरसेप्ट किए गए थे।

फ़ेच और xmlhttprequest को अपहरण करके, मैलवेयर ने वॉलेट पते से मिलते -जुलते सब्सट्रिंग्स के लिए JSON प्रतिक्रियाओं को स्कैन किया और उन्हें भ्रामक रूप से समान दिखने के लिए 280 हार्डकोडेड विकल्पों में से एक के साथ बदल दिया।

हमले का प्रभाव

लेकिन सभी वितरण के लिए, प्रभाव नगण्य था।

सुरक्षा एलायंस रिपोर्ट में कहा गया है कि ऑन-चेन डेटा से पता चलता है कि हमलावर को केवल पांच सेंट ईथर और लगभग 20 डॉलर की कीमत में एक इलिकिड मेमकोइन मिला है, जो वॉल्यूम में $ 600 से कम का कारोबार करता है।

लोकप्रिय ब्राउज़र वॉलेट मेटामास्क भी एक्स पर कहा यह एनपीएम आपूर्ति श्रृंखला हमले से प्रभावित नहीं था क्योंकि वॉलेट अपने कोड संस्करणों को लॉक करता है, मैनुअल और स्वचालित चेक का उपयोग करता है, और चरणों में अपडेट जारी करता है। यह “लावमोट” को भी नियुक्त करता है, जो कि डाला जाने पर भी दुर्भावनापूर्ण कोड को अवरुद्ध करता है, और “ब्लॉकएड”, जो तेजी से झंडे ने बटुए के पते से समझौता किया, इस तरह के हमलों को खाड़ी में रखने के लिए।

इस दौरान, लेजर सीटीओ चार्ल्स गुइलमेट ने चेतावनी दी दुर्भावनापूर्ण कोड को एक अरब से अधिक डाउनलोड के साथ पैकेज में धकेल दिया गया था और इसे लेनदेन में बटुए के पते को चुपचाप बदलने के लिए डिज़ाइन किया गया था।

हमला एक और अनुसरण करता है केस ने पिछले हफ्ते रिवर्सलैब्स द्वारा हरी झंडी दिखाईजहां एनपीएम पैकेजों ने मैलवेयर लिंक को छिपाने के लिए एथेरियम स्मार्ट कॉन्ट्रैक्ट्स का उपयोग किया-एक ऐसी तकनीक जो ऑर्डिनरी ब्लॉकचेन कॉल के रूप में कमांड-एंड-कंट्रोल ट्रैफ़िक को प्रच्छन्न करती है।