Atacul asupra lanțului de aprovizionare Axios expune aplicațiile crypto la risc

Un atac serios asupra lanțului de aprovizionare a lovit Axios, unul dintre cele mai utilizate instrumente în dezvoltarea web. Cercetătorii de securitate de la Socket Security au descoperit că hackerii au injectat malware în versiuni specifice ale bibliotecii publicate pe npm.

Acest atac ar putea afecta milioane de aplicații crypto. Include multe platforme crypto care se bazează pe Axios pentru a se conecta cu serverele. Deoarece Axios este utilizat în atât de multe sisteme, riscul este extins și imediat. Versiunile afectate includ axios@1.14.1 și axios@0.30.4. Dezvoltatorii care au instalat aceste versiuni ar fi putut expune sistemele lor fără să știe.

Cum a avut loc atacul?

Atacul nu a provenit dintr-un bug simplu. În schimb, hackerii au folosit o metodă a lanțului de aprovizionare. Aceasta înseamnă că au vizat procesul de distribuție a software-ului în sine. În acest caz, atacatorii au adăugat un pachet malițios numit "plain-crypto-js@4.2.1" ca o dependență ascunsă. Acest pachet nu a făcut parte din Axios înainte. Cineva l-a inserat discret în timpul lansării.

Și mai îngrijorător, lansarea nu a urmat procesul normal al Axios. Nu a apărut în etichetele oficiale GitHub. Acest lucru sugerează că atacatorul a obținut acces neautorizat la sistemul de publicare. Rapoartele indică faptul că un cont de menținere ar fi putut fi compromis. Acest lucru a permis atacatorului să împingă versiunea infectată direct pe npm.

Ce poate face malware-ul?

Malware-ul nu este inofensiv. Instalează un instrument de acces la distanță, cunoscut și sub numele de RAT. Odată în interiorul unui sistem, poate rula comenzi, colecta date și se poate conecta la servere externe. Funcționează pe macOS, Windows și Linux. Atacul este, de asemenea, conceput să se ascundă. Rulează în timpul instalării și apoi elimină urmele activității sale. Acest lucru îl face mai greu de detectat. Cu aceasta, chiar și dezvoltatorii s-ar putea să nu își dea seama că sistemul lor a fost afectat.

De ce proiectele crypto sunt în pericol?

Aplicațiile crypto se bazează adesea pe instrumente precum Axios pentru a trimite și primi date. Aceasta include servicii de portofel, platforme de schimb și aplicații descentralizate. Dacă aceste aplicații folosesc versiunile afectate, atacatorii ar putea accesa date sensibile. Aceasta poate include chei private, token-uri API sau informații despre utilizatori.

Deoarece multe proiecte folosesc actualizări automate, unele ar fi putut instala versiunea compromisă fără să știe. Acest lucru face situația mai serioasă. Atacul arată, de asemenea, cum un singur punct slab poate afecta multe sisteme deodată.

Ce ar trebui să facă dezvoltatorii acum?

Experții în securitate îndeamnă dezvoltatorii să acționeze rapid. În primul rând, verificați toate dependențele și fișierele lockfile. Căutați versiunile afectate de Axios și pachetul malițios. Dacă sunt găsite, eliminați-le imediat. Apoi, treceți la o versiune sigură de Axios.

Este, de asemenea, important să revizuiți sistemele pentru activități neobișnuite. Echipele de securitate trebuie să gestioneze cu atenție orice semne de acces neautorizat. Registrul npm a eliminat versiunile dăunătoare. Dar incidentul este încă în curs de investigare. Acest atac este un memento clar. Chiar și instrumentele de încredere pot deveni ținte. Într-un spațiu în mișcare rapidă precum crypto, a rămâne vigilent nu mai este opțional.

Postarea Axios Supply Chain Attack Exposes Crypto Apps to Risk a apărut prima dată pe Coinfomania.