新的NPM供應鏈攻擊危及主要的ENS和加密庫

根據網路安全公司 Aikido Security 的最新研究，一場重大的 JavaScript 供應鏈攻擊已使數百個軟件包受到影響——包括至少 10 個在加密生態系統中廣泛使用的軟件包。

在周一的一篇帖子中，Aikido Security 的研究員 Charlie Eriksen 分享了超過 400 個顯示出感染“Shai Hulud”自我復制惡意軟件的包的名稱，該惡意軟件用於正在進行的 JavaScript NPM 庫供應鏈攻擊。Eriksen 表示，他驗證了每個檢測結果，以避免誤報。

許多與加密貨幣相關的包每週收到數萬次下載，並有許多其他包需要它們才能正常運行。在今天早些時候發布的一條X動態中，Eriksen還警告以太坊名稱服務(ENS)團隊，他們的幾個包受到了影響。

來源：Charlie EriksenShai Hulud 是更廣泛供應鏈攻擊趨勢的一部分。在九月初，迄今爲止報告的最大 NPM 攻擊中，黑客僅盜取了 $50 百萬加密貨幣。亞馬遜網路服務指出，這次首次攻擊在一周後就被 Shai-Hulud 蠕蟲自主傳播了。

雖然之前的攻擊直接針對加密貨幣以竊取資產，但Shai-Hulud是一種通用的憑證竊取惡意軟件，它會在開發者基礎設施中自主傳播。如果感染的環境包含錢包密鑰，惡意軟件將像其他憑證一樣將其作爲“祕密”竊取。

相關: 失敗的NPM漏洞突顯了加密安全的迫在眉睫的威脅: 高管

哪些加密包受到影響？

在所有受影響的包中，至少有10個與加密貨幣行業直接相關，幾乎所有都與ENS相關，這是一個可讀性地址名稱服務。受影響的包中包括ENS的內容哈希，每週下載量接近36,000次，以及91個依賴於它的軟件包，還有地址編碼器，每週下載量超過37,500次。

其他受影響的ENS軟件包包括ensjs (每週下載超過30,000次)，ens-validation (每週下載1,750次)，ethereum-ens (每週下載12,650次)，以及ens-contracts (每週下載近3,100次)。與ENS無關的加密貨幣相關軟件包crypto-addr-codec也遭到攻擊，下載量接近35,000次。

相關: $27 百萬消失，無私鑰泄露: BigONE 黑客事件是如何發生的

受影響的流行非加密軟件包

與加密貨幣無關的受影響軟件包包括一些由企業自動化平台Zapier提供的，尤其是一個每週下載超過40,000次的包，還有許多下載量也不遠。Eriksen在後續帖子中指出了其他被感染的軟件包，其中一些每週下載接近70,000次，還有另一個包的每週下載量超過150萬次。

“這次新的沙赫魯德攻擊的範圍實在太大了；我們仍在處理隊列以確認所有內容，”Eriksen在X上寫道。

“這會讓之前的攻擊看起來毫無意義。”

網路安全公司Wiz的研究人員聲稱已“發現超過25,000個受影響的代碼庫，涉及~350個獨特用戶，在過去幾個小時內，每30分鍾持續增加1,000個新代碼庫。”該公司建議對任何使用npm的環境進行“立即調查和修復”。

雜志： ‘救命！我的機器人吸塵器正在偷我的比特幣’：當智能設備襲擊時

• #安全
• #以太坊
• #惡意軟件
• #黑客
• #網路安全
• #ENS
• #供應鏈
• #黑客 添加反應 ！