Nagbabala ang CTO ng Ledger tungkol sa NPM supply chain attack na tumatarget sa mga crypto user

Isang malaking supply chain attack ang yumanig sa crypto ecosystem, nagbabantang ilagay sa panganib ang mga user sa buong mundo. Nagbabala si Ledger CTO Charles Guillemet, hinihikayat ang pag-iingat at paggamit ng hardware wallet.

Ang pag-atake, na nagsimula sa isang na-hack na Node Package Manager (NPM) account, ay nakaapekto na sa bilyon-bilyong downloads at nilagay sa panganib ang seguridad ng milyon-milyong dApps at crypto transactions.

“Ang NPM account ng isang kilalang developer ay na-kompromiso. Ang mga apektadong package ay na-download na ng mahigit 1 billion beses,” babala ni Guillemet.

Ipinaliwanag pa niya na ang malware ay gumagana bilang isang crypto clipper, tahimik na kinukuha ang wallet address tuwing may transaksyon upang ilipat ang pondo sa wallet ng umaatake. Hinikayat ni Guillemet ang mga user na maging mas maingat, lalo na ang mga hindi gumagamit ng hardware wallet.

“Kung gumagamit ka ng hardware wallet, bigyang pansin ang bawat transaksyon bago pumirma at ligtas ka. Kung hindi, iwasan munang gumawa ng anumang on-chain transaction sa ngayon,” payo niya.

NPM hack: Paano nangyari ang breach 

Ibinunyag ng mga ulat na 18 sikat na NPM packages ang nalamang na-kompromiso, kabilang ang mga high-profile package tulad ng ‘chalk’, ‘debug’, at ‘strip-ansi.’ Ang pag-atake, na nangyari noong Setyembre 8, ay isa sa pinakamalaki sa kasaysayan, na nakaapekto sa mga library na may kabuuang mahigit 2 billion weekly downloads.

Umano’y nagsimula ang pag-atake sa isang phishing email na nagpapanggap bilang opisyal na NPM support. Ang target ay si Qix-, isang respetadong developer na ang NPM account ay na-hijack, dahilan upang makapag-inject ang mga umaatake ng malicious updates sa mga sikat na JavaScript library.

Kapag na-install, tahimik na pinapalitan ng malicious payload ang kinopyang crypto address ng isang halos magkaparehong address na kontrolado ng hacker. Ang teknik na ito, gamit ang Levenshtein distance logic, ay nililinlang ang mga user na hindi nagdududa upang magpadala ng pondo sa maling address.

Isang pangunahing wallet address na konektado sa pag-atake ang itinampok ng mga researcher, bagaman may iba pang wallet na pinaniniwalaang kaugnay din.

Bagaman sinabi ni Charles na hindi pa malinaw kung ang umaatake ay direktang nagnanakaw din ng seed ng software wallets sa puntong ito, ang mga kamakailang ulat ay nagbigay-liwanag sa pinsala. Inuri ni researcher Rani Haddad ang mga wallet ng umaatake sa Arkham bilang isang entity na tinawag na NPM attack. Ipinapakita ng datos na nakapagnakaw ang umaatake ng $497.96 sa oras ng pag-uulat.

The wallets of the attacker | Source: Arkham

Bagaman hindi ganoon kalaki ang direktang epekto sa pananalapi, napakalaki ng posibleng pinsala dahil sa kasikatan ng mga apektadong package.

Tugon ng komunidad at pag-iwas 

Ilang proyekto at protocol, tulad ng Uniswap, SUI, at Jupiter, ang nagkumpirma na hindi sila apektado ngunit nagbigay pa rin ng babala. Ang mga cryptocurrency wallet tulad ng Ledger at MetaMask ay nagtiyak sa mga user ng multi-layered security measures.

Samantala, ang NPM supply chain hack ay hindi lamang ang pangunahing security event noong Setyembre 8. Iniulat ng Swiss crypto wealth platform na SwissBorg ang $41 million exploit sa pamamagitan ng partner API, na nakaapekto sa 1% ng mga user. Bukod pa rito, inanunsyo ng Ethereum L2 project na Kinto ang pagsasara nito matapos ang isang exploit noong Hulyo na nagresulta sa pagkawala ng 577 ETH, dahilan upang hindi na makakuha ng pondo ang team.

Ang sunod-sunod na pag-atake na ito ay nagpapakita ng tumitinding komplikasyon ng mga crypto threat. Sa mga susunod na panahon, kailangang yakapin ng mga user, developer, at platform ang mas mahigpit na seguridad at masusing pag-audit ng mga package.