Cuộc tấn công chuỗi cung ứng tấn công các bản phát hành npm của Axios, người dùng được kêu gọi xoay phím
Các công ty bảo mật đã gắn cờ [email protected] và 0.30.4 là bị xâm phạm, thúc giục xoay vòng thông tin xác thực và khôi phục các gói bị ảnh hưởng.
Hai bản phát hành npm độc hại của Axios đã nhắc nhở các nhà phát triển thay đổi thông tin xác thực và coi các hệ thống bị ảnh hưởng là bị xâm phạm sau khi một cuộc tấn công chuỗi cung ứng làm nhiễm độc thư viện máy khách JavaScript HTTP phổ biến.
Sự xâm phạm này lần đầu tiên được báo cáo bởi công ty an ninh mạng Socket, cho biết [email protected] và [email protected] đã được sửa đổi để kéo theo [email protected], một phần phụ thuộc độc hại chạy tự động trong quá trình cài đặt trước khi các bản phát hành bị xóa khỏi npm.
Theo công ty bảo mật OX Security, mã bị thay đổi có thể cung cấp cho kẻ tấn công quyền truy cập từ xa vào các thiết bị bị nhiễm, cho phép chúng đánh cắp dữ liệu nhạy cảm như thông tin đăng nhập, khóa API và thông tin ví tiền điện tử.
Vụ việc cho thấy một thành phần nguồn mở bị xâm phạm có khả năng lan truyền trên hàng nghìn ứng dụng dựa vào nó, khiến không chỉ các nhà phát triển mà cả các nền tảng và người dùng được kết nối với hệ thống bị lộ.
OX Security đã cảnh báo các nhà phát triển đã cài đặt [email protected] hoặc [email protected] coi hệ thống của họ là bị xâm phạm hoàn toàn và ngay lập tức thay đổi thông tin xác thực, bao gồm khóa API và mã thông báo phiên.
Ổ cắm cho biết các bản phát hành Axios bị xâm nhập đã được sửa đổi để bao gồm phần phụ thuộc vào [email protected], một gói được xuất bản ngay trước khi xảy ra sự cố và sau đó được xác định là độc hại.
Công ty cho biết phần phụ thuộc đã được định cấu hình để chạy tự động trong quá trình cài đặt thông qua tập lệnh sau cài đặt, cho phép kẻ tấn công thực thi mã trên hệ thống mục tiêu mà không cần thêm sự tương tác của người dùng.
Ổ cắm khuyên các nhà phát triển nên xem lại các dự án và tệp phụ thuộc của họ đối với các phiên bản Axios bị ảnh hưởng và gói [email protected] có liên quan, đồng thời xóa hoặc khôi phục mọi phiên bản bị xâm phạm ngay lập tức.
Các sự cố tiền điện tử trước đó đã cho thấy các vi phạm chuỗi cung ứng có thể leo thang như thế nào, từ thông tin nhà phát triển bị đánh cắp đến mất ví của người dùng.
Vào tháng Giêng
Vào ngày 3 tháng 10, nhà điều tra onchain ZachXBT đã báo cáo rằng “hàng trăm” ví trên các mạng tương thích với Máy ảo Ethereum đã bị rút cạn trong một cuộc tấn công quy mô lớn nhằm lấy đi một lượng nhỏ từ mỗi nạn nhân.
Nhà nghiên cứu an ninh mạng Vladimir S.
cho biết vụ việc có khả năng liên quan đến vụ vi phạm vào tháng 12 ảnh hưởng đến Trust Wallet, dẫn đến thiệt hại khoảng 7 triệu USD trên hơn 2.500 ví.
Trust Wallet sau đó cho biết vi phạm có thể bắt nguồn từ một thỏa hiệp chuỗi cung ứng liên quan đến các gói npm được sử dụng trong quy trình phát triển của nó.
