Axios ซึ่งเป็นหนึ่งในไลบรารี JavaScript ที่ได้รับความนิยมมากที่สุด อาจถูกบุกรุกและเกี่ยวข้องกับการโจมตีกระเป๋าเงินคริปโต การโจมตีแพ็คเกจ npm กำลังกลายเป็นเรื่องปกติมากขึ้น โดยโจมตีโปรเจกต์ นักพัฒนา และผู้ใช้งานปลายทางโดยตรง
แพ็คเกจ Axios npm ถูกเผยแพร่ไปยังไลบรารี JavaScript อย่างเป็นทางการ และถูกยกเลิกการเผยแพร่เพียงไม่กี่ชั่วโมงต่อมา ผู้เชี่ยวชาญด้านความปลอดภัยออนเชนสกัดกั้นการโจมตีได้ ซึ่งมีการใช้งานประมาณสามชั่วโมง
แพ็คเกจ npm ถูกบุกรุกผ่านข้อมูลรับรองของ @jasonsaayman ขณะที่นักวิจัยยังคงมองหาสัญญาณว่าบัญชีถูกบุกรุก แพ็คเกจที่ได้รับผลกระทบถูกระบุว่าเป็น [email protected] และ [email protected]
ตามที่ Cryptopolitan รายงานก่อนหน้านี้ การโจมตี npm มักจะกำหนดเป้าหมายไปที่กระเป๋าเงินคริปโต และมีความเสี่ยงโดยเฉพาะสำหรับโปรเจกต์แบบกระจายอำนาจที่มีการถือครองของทีมจำนวนมาก
เกิดอะไรขึ้นในการโจมตี Axios npm?
StepSecurity เป็นหนึ่งในผู้แรกที่ระบุปัญหา ไลบรารีไคลเอนต์ Axios HTTP สองเวอร์ชันที่เป็นอันตรายถูกเผยแพร่ผ่านข้อมูลรับรองที่ถูกบุกรุกของผู้ดูแล Axios หลัก โดยข้ามกระบวนการเผยแพร่ปกติบน GitHub
ตาม StepSecurity นี่คือการโจมตีที่ซับซ้อนที่สุดต่อแพ็คเกจ npm ที่ใช้กันอย่างแพร่หลายใน 10 อันดับแรก เวอร์ชันแพ็คเกจที่เป็นอันตรายแทรก dependency ใหม่ [email protected] ซึ่งไม่ได้ถูก import ในโค้ดต้นฉบับของ axios dependency นี้รันสคริปต์หลังการติดตั้ง ซึ่งทำงานบนระบบปฏิบัติการทั้งหมด
หลังจากใช้ npm ไคลเอนต์จะติดมัลแวร์ remote access trojan dropper ซึ่งมีเซิร์ฟเวอร์ที่ทำงานอยู่และส่ง payload มัลแวร์ยังลบตัวเองและแทนที่ไฟล์ .json ที่น่าสงสัยด้วยเวอร์ชันที่สะอาดเพื่อหลีกเลี่ยงการตรวจจับ
โปรเจกต์ประเภทใดได้รับผลกระทบ?
แพ็คเกจ npm เป็นหนึ่งในแพ็คเกจที่ได้รับความนิยมมากที่สุด โดยมีการดาวน์โหลดสูงถึง 100 ล้านครั้งต่อสัปดาห์ อย่างไรก็ตาม ณ จุดนี้ไม่มีรายงานการเคลื่อนไหวของคริปโตที่ไม่ได้รับอนุญาต ก่อนหน้านี้ การโจมตี npm นำไปสู่การสูญเสียคริปโตเพียง $1,000 จากโทเค็นที่ไม่เป็นที่รู้จัก
วิธีเดียวที่จะจำกัด npm ที่เป็นอันตรายคือการติดตามเวอร์ชันและไม่อนุญาตให้มีการอัปเกรดอัตโนมัติ หรือตรวจสอบเวอร์ชันใหม่สำหรับการอัปโหลดที่อาจเป็นอันตราย
นักวิจัยยังค้นพบแพ็คเกจที่เป็นอันตรายเพิ่มเติมอีกสองแพ็คเกจที่ส่ง payload ในลักษณะเดียวกัน – @shadanai/openclaw และ @qqbrowser/openclaw-qbot การโจมตีนี้ตามมาจากการแทรกโค้ดที่เป็นอันตรายของ LiteLLM เพียงหนึ่งสัปดาห์
ไม่มีรายงานว่าโปรเจกต์ Web3 หรือ OpenClaw ได้รับผลกระทบหรือมีคริปโตถูกขโมยในช่วงระยะเวลาของการโจมตี อย่างไรก็ตาม มีการออกคำเตือนว่าการโจมตี npm อาจกลายเป็นเรื่องปกติ ไม่ว่าจะผ่านข้อมูลรับรองที่ถูกขโมยหรือผู้เผยแพร่ที่ไม่ได้รับอนุญาต ภัยคุกคามนี้ตามมาจากคำเตือนก่อนหน้านี้เกี่ยวกับโค้ดที่เป็นอันตรายโดยใช้ แพลตฟอร์มทักษะ OpenClaw
แพ็คเกจไม่ได้จำกัดเฉพาะโปรเจกต์ Web3 หรือบอท และอาจส่งผลกระทบต่อ payload ใด ๆ ที่เชื่อมโยงกับกระเป๋าเงินคริปโต การสูญเสียความไว้วางใจใน npm และการติดตั้ง pip สำหรับ Python อาจทำให้ความไว้วางใจทั่วไปในระบบนิเวศไลบรารีลดลง พร้อมกับข้อเรียกร้องให้มีเส้นทางการอัปโหลดที่ปลอดภัยยิ่งขึ้น
การใช้เอเจนต์ AI อาจนำไปสู่การดาวน์โหลดแพ็คเกจโดยไม่เลือกปฏิบัติ ทำให้ภัยคุกคามแพร่กระจาย ผลกระทบที่แท้จริงต่อกระเป๋าเงินคริปโตอาจไม่เกิดขึ้นทันที แต่ยังคงมีโอกาสเปิดเผยข้อมูลกระเป๋าเงิน
ธนาคารของคุณกำลังใช้เงินของคุณ คุณได้รับเศษเล็กเศษน้อย ดูวิดีโอฟรีของเราเกี่ยวกับการเป็นธนาคารของตัวเอง
แหล่งที่มา: https://www.cryptopolitan.com/supply-chain-attack-axios-crypto-wallets/
