针对 JavaScript 代码的大规模黑客攻击,恶意软件本周早些时候发出警报仅窃取了价值 1,043 美元的加密货币,数据来自阿卡姆情报.
Wiz 的网络安全研究人员昨天发表了一篇关于“广泛”供应链攻击的分析报告,文中写道一篇博客文章不良行为者利用社会工程学来控制Qix 的 GitHub 帐户(Josh Junon),JavaScript 流行代码包的开发者。
黑客发布了其中一些软件包的更新,添加了可激活 API 和加密钱包接口的恶意代码,以及扫描加密货币交易以重写收件人地址和其他交易数据。
令人震惊的是,Wiz 的研究人员得出结论,10% 的云环境包含一些恶意代码实例,并且 99% 的所有云环境都使用了黑客所针对的一些软件包 - 但并非所有这些云环境都会下载受感染的更新。
尽管该漏洞的潜在规模很大,但来自阿卡姆的最新数据表明,威胁行为者的钱包迄今为止只收到相对较少的 1,043 美元。
在过去的几天里,这一数字一直在稳步增长,主要涉及 ERC-20 代币的转账,单笔交易价值在 1.29 美元到 436 美元之间。
同样的漏洞也扩展到了 Qix 的 npm 包之外,JFrog Security 昨天的更新揭示 DuckDB SQL 数据库管理系统已被攻破。
此更新还表明,该漏洞“似乎是历史上最大的 npm 攻击”,凸显了攻击的惊人规模和范围。
Wiz Research 的研究人员表示,此类软件供应链攻击正变得越来越普遍解密.
他们表示:“攻击者已经意识到,只要攻陷一个软件包或依赖项,就能让他们同时入侵数千个环境。正因如此,我们看到这类事件数量稳步上升,从域名抢注到恶意软件包接管,不一而足。”
事实上,过去几个月已经发生了多起类似事件,包括将恶意拉取请求插入以太坊的 ETHcode 扩展7 月份,该应用的下载量已超过 6,000 次。
Wiz Research 表示,“npm 生态系统尤其经常成为攻击目标,因为它非常受欢迎,而且开发人员依赖传递依赖项。”Wiz Research 的成员包括 Wiz 关于 Qix 黑客攻击的博客作者 Hila Ramati、Gal Benmocha 和 Danielle Aminov。
Wiz 表示,最新事件强调了保护开发流程的必要性,各组织被敦促保持整个软件供应链的可见性,同时监控异常的软件包行为。
在 Qix 漏洞事件中,许多组织和实体似乎都在做同样的事情,该漏洞在发布后两小时内就被发现。
快速检测是该漏洞造成的经济损失有限的主要原因之一,但 Wiz Research 认为还有其他因素在起作用。
他们表示:“该有效载荷的设计初衷是针对具有特定情况的用户,这可能会限制其覆盖范围。”
Wiz 的研究人员补充说,开发人员也更加了解此类威胁,许多开发人员都采取了保护措施,以便在可疑活动造成严重损害之前将其捕获。
他们表示:“我们总是有可能会看到延迟的影响报告,但根据我们今天所了解的情况,快速的检测和删除工作似乎限制了攻击者的成功。”
![故事协议[IP]:多头在10美元关口与空头激烈博弈,未来走势如何?](https://chain.jzxian.com/zb_users/cache/thumbs/3f5f4607b9d5331f45bdff37513e1fbc-252-157-1.jpg)
