Axios, una dintre cele mai populare biblioteci JavaScript, ar putea fi compromisă și implicată într-un atac asupra portofelelor cripto. Atacul asupra pachetului npm devine tot mai frecvent, vizând direct proiecte, dezvoltatori și utilizatori finali.
Un pachet npm Axios a fost publicat în biblioteca oficială JavaScript și apoi retras după doar câteva ore. Experții în securitate on-chain au interceptat atacul, care a fost activ aproximativ trei ore.
Pachetele npm au fost compromise prin acreditările lui @jasonsaayman, în timp ce cercetătorii căutau în continuare semne că contul a fost compromis. Pachetele afectate au fost identificate ca [email protected] și [email protected].
Așa cum Cryptopolitan a raportat anterior, atacurile npm vizează adesea portofelele cripto și sunt deosebit de riscante pentru proiectele descentralizate cu dețineri mari ale echipei.
Ce s-a întâmplat în atacul npm Axios?
StepSecurity a fost printre primii care au identificat problema. Două versiuni malițioase ale bibliotecii client HTTP Axios au fost publicate prin acreditările compromise ale unui responsabil principal Axios, ocolind fluxul normal de publicare pe GitHub.
Conform StepSecurity, acesta a fost cel mai sofisticat atac împotriva unui pachet npm top-10 utilizat pe scară largă. Versiunea malițioasă a pachetului injectează o nouă dependență, [email protected], care nu este importată în codul sursă axios. Dependența rulează un script post-instalare, activ pe toate sistemele de operare.
După utilizarea npm, clientul este infectat cu un troian de acces la distanță, care are un server activ și livrează payload-urile. Malware-ul se șterge de asemenea pe sine și înlocuiește fișierul .json suspect cu o versiune curată pentru a evita detectarea.
Ce tipuri de proiecte au fost afectate?
Pachetele npm au fost printre cele mai populare, cu până la 100 milioane de descărcări săptămânale. Cu toate acestea, în acest moment, nu există rapoarte despre mișcări cripto neautorizate. Anterior, un atac npm a dus la pierderi cripto de doar 1.000$ din tokenuri obscure.
Singura modalitate de a limita npm-urile malițioase este să urmăriți versiunile și să nu permiteți actualizări automate sau să verificați versiunile noi pentru potențiale încărcări malițioase.
Cercetătorii au descoperit, de asemenea, două pachete malițioase suplimentare care livrează payload-uri în același mod – @shadanai/openclaw și @qqbrowser/openclaw-qbot. Atacul urmează injecției de cod malițios LiteLLM cu doar o săptămână.
Nu există rapoarte despre proiecte Web3 sau OpenClaw afectate sau despre cripto furat, pe durata atacului. Cu toate acestea, au fost emise avertismente că atacurile npm pot deveni acum norma, fie prin acreditări furate, fie prin editori neautorizați. Amenințarea urmează avertismentelor anterioare privind codul malițios care utilizează platforma de competențe OpenClaw.
Pachetele nu se limitează la proiecte Web3 sau bot și pot afecta orice payload-uri legate de portofelele cripto. Pierderea încrederii în instalările npm și pip pentru Python poate eroda, de asemenea, încrederea generală în ecosistemul bibliotecilor, cu apeluri pentru o cale de încărcare mai sigură.
Utilizarea agenților AI poate duce, de asemenea, la descărcarea nediscriminată a pachetelor, răspândind amenințarea. Efectele reale asupra portofelelor cripto pot să nu fie imediate, dar ele expun totuși potențial datele portofelului.
Banca ta folosește banii tăi. Tu primești resturile. Vizionează videoclipul nostru gratuit despre cum să devii propria ta bancă
Sursa: https://www.cryptopolitan.com/supply-chain-attack-axios-crypto-wallets/
