Axios, một trong những thư viện JavaScript phổ biến nhất, có thể đã bị xâm phạm và liên quan đến một cuộc tấn công vào ví tiền mã hóa. Cuộc tấn công vào gói npm đang trở nên phổ biến hơn, trực tiếp tấn công vào các dự án, nhà phát triển và người dùng cuối.
Một gói npm Axios đã được xuất bản lên thư viện JavaScript chính thức, và bị gỡ bỏ chỉ vài giờ sau đó. Các chuyên gia bảo mật on-chain đã chặn cuộc tấn công, vốn hoạt động trong khoảng ba giờ.
Các gói npm đã bị xâm phạm thông qua thông tin xác thực của @jasonsaayman, khi các nhà nghiên cứu vẫn đang tìm kiếm dấu hiệu cho thấy tài khoản đã bị xâm nhập. Các gói bị ảnh hưởng được xác định là [email protected] và [email protected].
Như Cryptopolitan đã báo cáo trước đó, các cuộc tấn công npm thường nhắm vào ví tiền mã hóa và đặc biệt nguy hiểm đối với các dự án phi tập trung có lượng nắm giữ lớn của nhóm.
Điều gì đã xảy ra trong cuộc tấn công npm Axios?
StepSecurity là một trong những đơn vị đầu tiên xác định được vấn đề. Hai phiên bản độc hại của thư viện máy khách HTTP Axios đã được xuất bản thông qua thông tin xác thực bị xâm phạm của một người duy trì Axios chính, bỏ qua quy trình xuất bản thông thường trên GitHub.
Theo StepSecurity, đây là cuộc tấn công tinh vi nhất chống lại một gói npm top 10 được sử dụng rộng rãi. Phiên bản gói độc hại này chèn một phụ thuộc mới, [email protected], không được nhập vào mã nguồn axios. Phụ thuộc này chạy một script sau cài đặt, hoạt động trên tất cả các hệ điều hành.
Sau khi sử dụng npm, máy khách bị nhiễm một remote access trojan dropper, có máy chủ trực tiếp và phân phối các payload. Phần mềm độc hại cũng tự xóa và thay thế .json đáng ngờ bằng một phiên bản sạch để tránh bị phát hiện.
Những loại dự án nào bị ảnh hưởng?
Các gói npm nằm trong số những gói phổ biến nhất, với tới 100 triệu lượt tải xuống mỗi tuần. Tuy nhiên, tại thời điểm này, không có báo cáo nào về việc di chuyển tiền mã hóa trái phép. Trước đó, một cuộc tấn công npm chỉ dẫn đến khoản lỗ 1,000 đô la từ các token không rõ ràng.
Cách duy nhất để hạn chế npm độc hại là theo dõi các phiên bản và không cho phép nâng cấp tự động, hoặc kiểm tra các phiên bản mới để tìm các tải lên độc hại tiềm ẩn.
Các nhà nghiên cứu cũng phát hiện thêm hai gói độc hại phân phối payload theo cùng một cách – @shadanai/openclaw và @qqbrowser/openclaw-qbot. Cuộc tấn công này xảy ra chỉ một tuần sau vụ chèn mã độc hại LiteLLM.
Không có báo cáo nào về việc các dự án Web3 hoặc OpenClaw bị ảnh hưởng hoặc bất kỳ tiền mã hóa nào bị đánh cắp, trong suốt thời gian tấn công. Tuy nhiên, các cảnh báo đã được đưa ra rằng các cuộc tấn công npm giờ đây có thể trở thành normality, thông qua thông tin xác thực bị đánh cắp hoặc các nhà xuất bản trái phép. Mối đe dọa này theo sau các cảnh báo trước đó về mã độc hại sử dụng nền tảng kỹ năng OpenClaw.
Các gói không giới hạn ở các dự án Web3 hoặc bot, và có thể ảnh hưởng đến bất kỳ payload nào được liên kết với ví tiền mã hóa. Sự mất lòng tin vào npm và cài đặt pip cho Python cũng có thể làm xói mòn lòng tin chung vào hệ sinh thái thư viện, với các kêu gọi về một đường dẫn tải lên bảo mật hơn.
Việc sử dụng AI Agent cũng có thể dẫn đến việc tải xuống gói một cách bừa bãi, làm lan rộng mối đe dọa. Các tác động thực sự đối với ví tiền mã hóa có thể không xảy ra ngay lập tức, nhưng chúng vẫn có khả năng làm lộ dữ liệu ví.
Ngân hàng của bạn đang sử dụng tiền của bạn. Bạn đang nhận phần thừa. Xem video miễn phí của chúng tôi về việc trở thành ngân hàng của chính bạn
Nguồn: https://www.cryptopolitan.com/supply-chain-attack-axios-crypto-wallets/
