Tiêu đề gốc: "Các cuộc tấn công chuỗi cung ứng" thống trị tin tức chỉ sau một đêm: Chuyện gì đã xảy ra? Làm thế nào để giảm thiểu rủi ro? 》

Tác giả gốc: Azuma, Odaily Planet Daily

Vào ngày 9 tháng 9, giờ Bắc Kinh, Giám đốc Công nghệ (CTO) của Ledger, Charles Guillemet, đã đưa ra cảnh báo trên X: "Một cuộc tấn công chuỗi cung ứng quy mô lớn hiện đang diễn ra, và tài khoản NPM của một nhà phát triển nổi tiếng đã bị xâm phạm. Các gói phần mềm bị ảnh hưởng đã được tải xuống hơn 1 tỷ lần, điều này có nghĩa là toàn bộ hệ sinh thái JavaScript có thể gặp rủi ro."

Guillemet nói thêm: "Mã độc hoạt động bằng cách âm thầm can thiệp vào các địa chỉ tiền điện tử ở chế độ nền để đánh cắp tiền. Nếu bạn sử dụng ví phần cứng, vui lòng kiểm tra cẩn thận mọi giao dịch đã ký và bạn sẽ an toàn. Nếu bạn không sử dụng ví phần cứng, vui lòng tránh mọi giao dịch trên chuỗi trong thời gian này. Hiện chưa rõ liệu kẻ tấn công có trực tiếp đánh cắp cụm từ ghi nhớ của phần mềm hay không. wallet."

Chuyện gì đã xảy ra? Theo báo cáo bảo mật do Guillemet trích dẫn, nguyên nhân trực tiếp của sự cố này là do tài khoản NPM của nhà phát triển nổi tiếng @qix bị xâm phạm, dẫn đến việc phát tán các phiên bản độc hại của hàng chục gói, bao gồm chalk, strip-ansi và color-convert. Mã độc có thể đã lây lan sang các thiết bị đầu cuối khi các nhà phát triển hoặc người dùng tự động cài đặt các gói phụ thuộc. Lưu ý của Odaily: Dữ liệu tải xuống hàng tuần cho các gói bị xâm phạm. Tóm lại, đây là một trường hợp điển hình của một cuộc tấn công chuỗi cung ứng—kẻ tấn công chèn mã độc (chẳng hạn như các gói NPM) vào các công cụ phát triển hoặc hệ thống phụ thuộc. NPM, viết tắt của Node Package Manager, là công cụ quản lý gói được sử dụng phổ biến nhất trong hệ sinh thái JavaScript/Node.js. Các chức năng chính của nó bao gồm quản lý các gói phụ thuộc, cài đặt và cập nhật các gói và chia sẻ mã.

Hệ sinh thái của NPM rất lớn, với hàng triệu gói phần mềm hiện có sẵn. Hầu hết các dự án Web3, ví tiền điện tử và công cụ front-end đều dựa vào NPM. Chính vì số lượng lớn các phụ thuộc và liên kết phức tạp, NPM là điểm xâm nhập có nguy cơ cao cho các cuộc tấn công chuỗi cung ứng. Kẻ tấn công có thể dễ dàng cài mã độc vào một gói phần mềm phổ biến và có khả năng ảnh hưởng đến hàng nghìn ứng dụng và người dùng.

Như thể hiện trong sơ đồ luồng phát tán mã độc ở trên:

· Một dự án (ô màu xanh) phụ thuộc trực tiếp vào một số thư viện mã nguồn mở phổ biến, chẳng hạn như express.

· Các phụ thuộc trực tiếp này (ô màu xanh lá cây) lần lượt phụ thuộc vào các phụ thuộc gián tiếp khác (ô màu vàng, chẳng hạn như lodash).

· Nếu một phụ thuộc gián tiếp được bí mật cấy mã độc (ô màu đỏ), nó sẽ theo chuỗi phụ thuộc và xâm nhập vào dự án.

Điều này có ý nghĩa gì đối với tiền điện tử?

Mối liên quan trực tiếp của sự cố bảo mật này đối với ngành công nghiệp tiền điện tử nằm ở chỗ mã độc do tin tặc cấy vào gói phần mềm bị nhiễm là một "kẻ chiếm đoạt clipboard tiền điện tử" tinh vi, chuyên đánh cắp tài sản tiền điện tử bằng cách thay thế địa chỉ ví và chiếm đoạt giao dịch.

GE (@GuarEmperor), nhà sáng lập Stress Capital, đã đưa ra lời giải thích chi tiết hơn về X. "Kẻ chiếm quyền clipboard" do tin tặc cài đặt sử dụng hai chế độ tấn công - Ở chế độ thụ động, "thuật toán khoảng cách Levenshtein" được sử dụng để thay thế địa chỉ ví. Do sự tương đồng về mặt hình ảnh, rất khó phát hiện; ở chế độ chủ động, nó sẽ phát hiện ví được mã hóa trong trình duyệt và giả mạo địa chỉ mục tiêu trước khi người dùng ký giao dịch.

Vì cuộc tấn công này nhắm vào các thư viện lớp cơ sở của các dự án JavaScript, điều đó có nghĩa là ngay cả các dự án gián tiếp dựa vào các thư viện này cũng có thể bị ảnh hưởng.

Tin tặc đã kiếm được bao nhiêu lợi nhuận?

Mã độc hại do tin tặc cài đặt cũng tiết lộ địa chỉ tấn công của nó. Địa chỉ tấn công chính của tin tặc vào Ethereum là 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976 và số tiền chủ yếu đến từ ba địa chỉ sau:

· 0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240

· x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B

· 0x30F895a2C66030795131FB66CBaD6a1f91461731

Arkham đã tạo một trang theo dõi cho cuộc tấn công này, nơi bạn có thể theo dõi lợi nhuận và giao dịch của tin tặc theo thời gian thực.

Tính đến thời điểm bài đăng này, lợi nhuận của tin tặc chỉ là 496 đô la, nhưng xét đến mức độ lây lan của mã độc vẫn chưa được xác định, con số này dự kiến sẽ tăng lên. Nhà phát triển đã được thông báo và đang tích cực làm việc với nhóm bảo mật NPM để giải quyết vấn đề. Mã độc đã được xóa khỏi hầu hết các gói bị ảnh hưởng, do đó tình hình đang được kiểm soát.

Làm thế nào để giảm thiểu rủi ro?

Nhà sáng lập Defillama @0xngmi Yu X cho biết mặc dù sự cố này nghe có vẻ nguy hiểm, nhưng phạm vi tác động thực tế không quá đáng - vì sự cố này chỉ ảnh hưởng đến các trang web đã đẩy các bản cập nhật kể từ khi gói NPM bị hack được phát hành, các dự án khác vẫn sẽ sử dụng phiên bản cũ; và hầu hết các dự án sẽ ghim các phụ thuộc của họ, vì vậy ngay cả khi họ đẩy các bản cập nhật, họ sẽ tiếp tục sử dụng mã an toàn cũ.

Tuy nhiên, vì người dùng không thể thực sự biết liệu một dự án có ghim các phụ thuộc hay liệu chúng có một số phụ thuộc được tải xuống động hay không, bản thân dự án cần phải tự kiểm tra và tiết lộ thông tin trước. Tính đến thời điểm đăng bài này, một số dự án ví hoặc ứng dụng, bao gồm MetaMask, Phantom, Aave, Fluid và Jupiter, đã tiết lộ rằng họ không bị ảnh hưởng bởi sự cố này. Do đó, về mặt lý thuyết, người dùng có thể yên tâm sử dụng các ví đã được xác nhận là an toàn để truy cập các giao thức bảo mật đã được xác nhận. Tuy nhiên, đối với các ví hoặc dự án khác chưa tiết lộ về bảo mật của họ, có thể tạm thời tránh sử dụng chúng.

Liên kết gốc