Scroll untuk baca artikel
Networking

SDK injeksi pada npm yang terinfeksi pencuri dompet cryptocurrency

4
×

SDK injeksi pada npm yang terinfeksi pencuri dompet cryptocurrency

Share this article
sdk-injeksi-pada-npm-yang-terinfeksi-pencuri-dompet-cryptocurrency
SDK injeksi pada npm yang terinfeksi pencuri dompet cryptocurrency

SDK injeksi pada npm yang terinfeksi pencuri dompet cryptocurrency

Peretas menyusupi repositori GitHub proyek Injective Labs SDK dan menggunakannya untuk menerbitkan paket jahat di Node Package Manager (npm) yang mencuri kunci pribadi dompet mata uang kripto dan frase benih mnemonik.

Example 300x600

Perusahaan keamanan aplikasi Socket, Ox Security, dan StepSecurity mendeteksi serangan rantai pasokan melalui paket npm @injectivelabs/sdk-ts versi 1.20.21.

Injective SDK adalah kit pengembangan perangkat lunak (SDK) TypeScript/JavaScript untuk membangun aplikasi pada blockchain Injective, blockchain Layer-1 yang berfokus pada keuangan terdesentralisasi (DeFi), aset yang diberi token, dan pertukaran terdesentralisasi.

gambar

Paket ini memiliki 50.000 unduhan mingguan di npm dan digunakan oleh pengembang yang membangun dompet mata uang kripto, bot perdagangan, bursa terdesentralisasi, aplikasi DeFi, dan alat pembayaran.

Menurut para peneliti, penyerang menyusupi akun GitHub milik kontributor proyek yang sah dan membuat komitmen mencurigakan pertama pada tanggal 8 Juni, menerbitkan versi berbahaya dari paket tersebut tidak lama kemudian.

Penyerang juga menerbitkan versi 1.20.21 untuk 17 paket lain yang terkait dengan proyek tersebut, menyematkan semuanya ke versi SDK yang disusupi.

Pemilik akun yang sah mendeteksi penyusupan dalam beberapa menit, mengembalikan perubahan, dan menerbitkan rilis bersih, versi 1.20.23.

Namun, sistem pengembang yang mengambil paket berbahaya melalui pembaruan atau menggunakannya kemungkinan besar telah disusupi.

kata soket versi berbahaya dari paket tersebut diunduh 310 kali sebelum tidak digunakan lagi, tidak dihapus, dan artefak rilis GitHub yang berbahaya masih tersedia.

Para peneliti juga mencatat bahwa paket tersebut memiliki 87 ketergantungan langsung pada npm dan kemungkinan besar beberapa ketergantungan transitif tambahan.

A laporan dari Ox Security memperingatkan bahwa 87 paket dependen memiliki jumlah unduhan kumulatif sedikit di atas 112.000.

Menargetkan dompet mata uang kripto

Malware ini aktif ketika pengembang menggunakan fungsi SDK yang menghasilkan atau mengimpor kunci dompet, bukan saat instalasi.

Setelah fungsi-fungsi tersebut dipanggil, malware menangkap frase benih mnemonik lengkap dan kunci pribadi dan mengkodekan data dalam base64. Semua informasi dieksfiltrasi melalui permintaan HTTP POST ke titik akhir infrastruktur publik Injective Labs untuk membuat lalu lintas tampak sah.

Laporan StepSecurity bahwa malware tersebut tidak segera mengirimkan rahasia yang dicuri, melainkan mengantri beberapa kunci dan mnemonik selama dua detik, menggabungkannya dalam header permintaan HTTP, dan mengirimkannya.

Penyerang kemudian dapat menggunakan mnemonik atau kunci pribadi untuk memindahkan dompet korban ke perangkat mereka sendiri dan mengakses, menggunakan, atau mentransfer aset digital mereka.

Pengembang yang mencurigai adanya kompromi harus mentransfer cryptocurrency mereka ke dompet baru dan merotasi semua rahasia di lingkungan mereka.

gambar artikel

Uji setiap lapisan sebelum penyerang melakukannya

Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.

Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.

Dapatkan whitepapernya