Tấn công chuỗi cung ứng NPM nhắm vào người dùng tiền điện tử được kiểm soát với thiệt hại tối thiểu

Một cuộc tấn công chuỗi cung ứng NPM quy mô lớn nhắm vào người dùng tiền điện tử đã thất bại phần lớn, chỉ gây ra tổn thất tài chính tối thiểu trước khi được phát hiện và ngăn chặn.

Tóm tắt điều hành

Một cuộc tấn công chuỗi cung ứng quy mô lớn thông qua Node Package Manager (NPM) nhắm vào người dùng tiền điện tử nhưng đã nhanh chóng được ngăn chặn. Theo CTO của Ledger, cuộc tấn công đã khiến khoảng 503 đô la bị đánh cắp trước khi được khắc phục. Nhiều nền tảng tiền điện tử, bao gồm Uniswap và Aave, đã báo cáo không bị ảnh hưởng.

Chi tiết sự kiện

Cuộc tấn công đã xâm phạm tài khoản NPM của một nhà phát triển có uy tín, chèn mã độc hại vào các gói được sử dụng rộng rãi như chalk、strip-ansi và color-convert. Các gói này đã được tải xuống hơn một tỷ lần mỗi tuần. Mã độc hại đã chặn các yêu cầu mạng, hoán đổi địa chỉ tiền điện tử thành các địa chỉ do kẻ tấn công kiểm soát, chủ yếu nhắm mục tiêu vào ví phần mềm và các ứng dụng tiền điện tử dựa trên trình duyệt như MetaMask.

Mã độc hại đã hoạt động trong khoảng hai giờ trước khi đội ngũ bảo mật NPM can thiệp. Các gói bị xâm phạm chứa mã được thiết kế để thao túng các tương tác ví và chuyển hướng thanh toán đến các tài khoản do kẻ tấn công kiểm soát.

Ảnh hưởng thị trường

Mặc dù tác động tài chính của cuộc tấn công là tối thiểu, sự kiện này nhấn mạnh những lỗ hổng bảo mật dai dẳng trong hệ sinh thái Web3. Sự cố này có thể dẫn đến việc tăng cường giám sát các chuỗi cung ứng phần mềm và chú trọng hơn vào các biện pháp bảo mật trong ngành tiền điện tử. Cuộc tấn công làm nổi bật những rủi ro liên quan đến việc các phần phụ thuộc phát triển đáng tin cậy trở thành vectơ để phân phối phần mềm độc hại tài chính.

Bình luận của chuyên gia

"Phần mềm độc hại hoạt động bằng cách âm thầm hoán đổi địa chỉ tiền điện tử ngay lập tức để đánh cắp tiền. Nếu bạn sử dụng ví cứng, hãy chú ý đến mọi giao dịch trước khi ký và bạn sẽ an toàn. Nếu bạn không sử dụng ví cứng, hãy tạm thời không thực hiện bất kỳ giao dịch on-chain nào."

Các chuyên gia bảo mật khuyến nghị các nhà phát triển và tổ chức thực hiện các biện pháp bảo mật chuỗi cung ứng mạnh mẽ, bao gồm kiểm toán phần phụ thuộc thường xuyên, sử dụng tệp khóa gói để đảm bảo các phiên bản phần phụ thuộc nhất quán và xác minh nhà xuất bản gói.

Bối cảnh rộng hơn

Cuộc tấn công này là lời nhắc nhở về những rủi ro cố hữu trong không gian Web3, đặc biệt đối với người dùng ví phần mềm và ứng dụng dựa trên trình duyệt. Ví cứng, như Ledger và Trezor, vẫn an toàn hơn nhờ các quy trình xác minh an toàn của chúng. Sự cố này cũng có thể khuyến khích việc áp dụng ví đa chữ ký, chẳng hạn như Safe, yêu cầu nhiều phê duyệt cho các giao dịch, tăng cường bảo mật.

Những lo ngại liên quan đến việc mất khóa riêng và các vụ hack là đáng kể đối với các nhà giao dịch. Như @GoChapaa đã lưu ý, những lo ngại này làm nổi bật các rủi ro thực hiện và lưu ký cốt lõi, khuyến khích việc áp dụng ví cứng và các giải pháp đa chữ ký để giảm thiểu các tổn thất tiềm ẩn.