Hệ sinh thái JavaScript toàn cầu đang phải đối mặt với cuộc tấn công chuỗi cung ứng NPM quy mô lớn nhất từ trước đến nay. Tin tặc đã xâm nhập vào tài khoản Node Package Manager (NPM) của một nhà phát triển nổi tiếng, tiêm mã độc vào hàng triệu thư viện JavaScript cốt lõi mà các ứng dụng dựa vào, nhằm mục tiêu trực tiếp vào tài sản trong ví tiền của người dùng tiền điện tử.
Chi tiết tấn công: Thư viện lõi bị cài đặt "mã hóa clip"
Theo các báo cáo an ninh từ nhiều nguồn, các gói bị ảnh hưởng bao gồm chalk, strip-ansi và color-convert, là những tiện ích nhỏ ẩn sâu trong cây phụ thuộc của vô số dự án, với số lượng tải xuống hàng tuần vượt quá 1 tỷ lần.
Chức năng độc hại: Lén lút thay thế địa chỉ ví tiền điện tử trong quá trình giao dịch (thường được gọi là "cutter mã hóa")
Rủi ro tiềm ẩn: Người dùng không biết sẽ chuyển tiền vào địa chỉ bị hacker kiểm soát.
Giám đốc công nghệ của Ledger, Charles Guillemet cảnh báo: "Toàn bộ hệ sinh thái JavaScript có thể đang gặp nguy hiểm."
Người dùng mã hóa trở thành mục tiêu cao
Các nhà nghiên cứu an ninh chỉ ra rằng, người dùng phụ thuộc vào Ví tiền phần mềm có mức độ rủi ro cao nhất, vì mã độc có thể sửa đổi chi tiết giao dịch trên trang web hoặc ứng dụng.
Người dùng ví tiền phần cứng thì tương đối an toàn, vì mỗi giao dịch cần được xác nhận trên thiết bị vật lý.
Người sáng lập DefiLlama 0xngmi nhắc nhở, mã độc sẽ không tự động xóa ví tiền, nhưng sẽ giả mạo nội dung giao dịch khi người dùng nhấp vào "hoán đổi" hoặc "xác nhận".
Do vì người dùng không thể dễ dàng phân biệt được trang web nào đã cập nhật phiên bản an toàn, các chuyên gia khuyên nên tạm ngừng giao dịch mã hóa trên các trang web không chắc chắn về độ an toàn cho đến khi các gói bị ảnh hưởng được dọn dẹp hoàn toàn.
Phương pháp tấn công: Email giả mạo chiếm đoạt tài khoản người bảo trì
(Nguồn: Github)
Kẻ tấn công đã giả mạo email lừa đảo hỗ trợ NPM chính thức để dụ dỗ các nhà bảo trì cập nhật xác thực hai yếu tố trên trang web giả, từ đó đánh cắp thông tin đăng nhập.
Một khi có quyền kiểm soát tài khoản, hacker có thể đẩy cập nhật độc hại đến các gói phần mềm có hàng tỷ lượt tải xuống.
Nhà nghiên cứu Aikido Security, Charlie Eriksen, cho biết mối nguy hiểm của cuộc tấn công này nằm ở chỗ nó có thể "cùng lúc sửa đổi nội dung hiển thị trên trang web, gọi API, và dữ liệu giao dịch mà ứng dụng người dùng nghĩ rằng đang được ký."
Tại sao đây là "cuộc tấn công chuỗi cung ứng lớn nhất trong lịch sử"?
Phạm vi ảnh hưởng rộng: Liên quan đến hàng triệu ứng dụng và trang web
Độ thâm nhập cao: Thư viện chức năng cốt lõi nằm ở dưới cùng của chuỗi phụ thuộc, ngay cả khi không được cài đặt trực tiếp cũng có thể bị ảnh hưởng.
Nhắm mục tiêu mạnh: Chuyên biệt khóa giao dịch tiền điện tử và vốn trong Ví tiền
Điều này có nghĩa là, từ các nhà phát triển front-end đến người dùng cuối, toàn bộ chuỗi có thể trở thành mục tiêu của cuộc tấn công.
Kết luận
Cuộc tấn công chuỗi cung ứng NPM này lại một lần nữa làm nổi bật sự mong manh của hệ sinh thái mã nguồn mở và tính rủi ro cao của thị trường mã hóa. Đối với các nhà phát triển, cần ngay lập tức kiểm tra và quay lại phiên bản an toàn; đối với người dùng mã hóa, nên tránh giao dịch trên các trang web không chắc chắn về tính an toàn trong thời gian ngắn, và cố gắng sử dụng ví tiền cứng để quản lý tài sản.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Cuộc tấn công chuỗi cung ứng NPM lớn nhất trong lịch sử! Thư viện JS cốt lõi bị xâm nhập, tài sản mã hóa của người dùng có thể bị đánh cắp
Hệ sinh thái JavaScript toàn cầu đang phải đối mặt với cuộc tấn công chuỗi cung ứng NPM quy mô lớn nhất từ trước đến nay. Tin tặc đã xâm nhập vào tài khoản Node Package Manager (NPM) của một nhà phát triển nổi tiếng, tiêm mã độc vào hàng triệu thư viện JavaScript cốt lõi mà các ứng dụng dựa vào, nhằm mục tiêu trực tiếp vào tài sản trong ví tiền của người dùng tiền điện tử.
Chi tiết tấn công: Thư viện lõi bị cài đặt "mã hóa clip"
Theo các báo cáo an ninh từ nhiều nguồn, các gói bị ảnh hưởng bao gồm chalk, strip-ansi và color-convert, là những tiện ích nhỏ ẩn sâu trong cây phụ thuộc của vô số dự án, với số lượng tải xuống hàng tuần vượt quá 1 tỷ lần.
Chức năng độc hại: Lén lút thay thế địa chỉ ví tiền điện tử trong quá trình giao dịch (thường được gọi là "cutter mã hóa")
Rủi ro tiềm ẩn: Người dùng không biết sẽ chuyển tiền vào địa chỉ bị hacker kiểm soát.
Giám đốc công nghệ của Ledger, Charles Guillemet cảnh báo: "Toàn bộ hệ sinh thái JavaScript có thể đang gặp nguy hiểm."
Người dùng mã hóa trở thành mục tiêu cao
Các nhà nghiên cứu an ninh chỉ ra rằng, người dùng phụ thuộc vào Ví tiền phần mềm có mức độ rủi ro cao nhất, vì mã độc có thể sửa đổi chi tiết giao dịch trên trang web hoặc ứng dụng.
Người dùng ví tiền phần cứng thì tương đối an toàn, vì mỗi giao dịch cần được xác nhận trên thiết bị vật lý.
Người sáng lập DefiLlama 0xngmi nhắc nhở, mã độc sẽ không tự động xóa ví tiền, nhưng sẽ giả mạo nội dung giao dịch khi người dùng nhấp vào "hoán đổi" hoặc "xác nhận".
Do vì người dùng không thể dễ dàng phân biệt được trang web nào đã cập nhật phiên bản an toàn, các chuyên gia khuyên nên tạm ngừng giao dịch mã hóa trên các trang web không chắc chắn về độ an toàn cho đến khi các gói bị ảnh hưởng được dọn dẹp hoàn toàn.
Phương pháp tấn công: Email giả mạo chiếm đoạt tài khoản người bảo trì
(Nguồn: Github)
Kẻ tấn công đã giả mạo email lừa đảo hỗ trợ NPM chính thức để dụ dỗ các nhà bảo trì cập nhật xác thực hai yếu tố trên trang web giả, từ đó đánh cắp thông tin đăng nhập.
Một khi có quyền kiểm soát tài khoản, hacker có thể đẩy cập nhật độc hại đến các gói phần mềm có hàng tỷ lượt tải xuống.
Nhà nghiên cứu Aikido Security, Charlie Eriksen, cho biết mối nguy hiểm của cuộc tấn công này nằm ở chỗ nó có thể "cùng lúc sửa đổi nội dung hiển thị trên trang web, gọi API, và dữ liệu giao dịch mà ứng dụng người dùng nghĩ rằng đang được ký."
Tại sao đây là "cuộc tấn công chuỗi cung ứng lớn nhất trong lịch sử"?
Phạm vi ảnh hưởng rộng: Liên quan đến hàng triệu ứng dụng và trang web
Độ thâm nhập cao: Thư viện chức năng cốt lõi nằm ở dưới cùng của chuỗi phụ thuộc, ngay cả khi không được cài đặt trực tiếp cũng có thể bị ảnh hưởng.
Nhắm mục tiêu mạnh: Chuyên biệt khóa giao dịch tiền điện tử và vốn trong Ví tiền
Điều này có nghĩa là, từ các nhà phát triển front-end đến người dùng cuối, toàn bộ chuỗi có thể trở thành mục tiêu của cuộc tấn công.
Kết luận
Cuộc tấn công chuỗi cung ứng NPM này lại một lần nữa làm nổi bật sự mong manh của hệ sinh thái mã nguồn mở và tính rủi ro cao của thị trường mã hóa. Đối với các nhà phát triển, cần ngay lập tức kiểm tra và quay lại phiên bản an toàn; đối với người dùng mã hóa, nên tránh giao dịch trên các trang web không chắc chắn về tính an toàn trong thời gian ngắn, và cố gắng sử dụng ví tiền cứng để quản lý tài sản.