8. Rujan 2025: NPM Supply-Chain Attack koji srećom nije uspio

[Pmalek]

8. Rujna se dogodio značajan hack i napad na open-source JavaScript ekosustav koji je mogao imati mnogo veće posljedice nego što je imao ali srećom nije. U napadu je kompromitiran NPM developer nalog poznatog developera, qix koji održava kodni sustav mnogih open-source paketa. Nakon što su hakeri preuzeli njegov nalog, pustili su u opticaj zlonamjerne update-te oko 20 JavaScript paketa. Ovi paketi se koriste i preuzimaju oko 2 milijarde puta tjedno i od različitih usluga u kripto softver ekosustavu.

qix je dobio phishing email koji je ličio na poruku NPM korisničke službe nakon čega je resetovao svoju šifru i 2FA i na taj način hakeru dao pristup svom nalogu.   

Zlonamjerne verzije koda su objavljene 8. Rujna. Vrlo brzo su prepoznate kao takve i kompromitovani JavaScript paketi su uklonjeni poslje par sati. Pretpostavlja se da su oko 2 sata zlonamjerne verzije bile javno dostupne i da su i preuzete od određenih softvera u vidu update-a. Zapravo, mali postotak softvera je izvršio update.

Modifikacije koda su srećom i igrom slučaja otkrivene nakon što je jedan od kompromitovanih paketa javljao grešku. Nakon pregleda, developeri su otkrili sumnjive funkcije i novi kod. Da je to spretnije odrađeno, pitanje je kad bi se kompromitovani paketi otkrili.

Zlonamjerni kod je zapravo bio clipboard malware, kreiran da promjeni adresu na koju žrtva šalje kripto u adresu pod kontrolom hakera. Ovaj malware je tražio i napadao web i softverske novčanike koje koriste JavaScript, kakav je npr. MetaMask za desktop. Ali i neki softverski novčanici od poznatih hardverskih kompanija navodno koriste JavaScript kao što su Ledger Live ili Trezor Suite. Ovo nije potvrđeno i predstavnici svih kompanija i developeri walleta su u većini slučajeve preko X objavili da njihovi softveri nisu kompromitovani niti da koriste izmijenjene pakete.

Malware je koristio poseban algoritam koji je birao adrese koje najviše liče na one adrese na koje su žrtve slale kripto kako bi spriječio da se otkrije.

Iako je napad mogao da uzrokuje veliku štetu da nije brzo primječen, da nisu neki paketi javljali greške, i da su poznati web wallet-i ili mjenačnice povukle update kompromitovanih JavaScript paketa, srećom to se nije desilo. Neki izvori tvrde da je ukradeno oko $500 u kriptu u različitim valutama dok drugi smatraju da je ukradeno svega $20.


Ovakvim napadom nisu pogođeni walleti koji ne koriste JavaScript pakete. U to spadaju popularni hardverski novčanici koji imaju ekran na kojem možete provjeriti adresu na koju šaljete i gdje biste vidjeli ako nešto nije uredu čak i ako vam softver pokazuje nešto drugo. Od popularnih sotverskih novčanika, nisu pogođeni Sparrow, Electrum, Wasabi, Nunchuk, itd. Najrizičniji su web walleti kao MetaMask, Rabby itd. Vjerovatno i kripto mjenačnice koriste JavaScript ekosustav.

Ovaj put hakerima nije pošlo za rukom. Ali će sigurno naučiti nešto iz ovoga i vratiti se sa boljim planom u budućnosti...


Detaljan izvještaj o ovom slučaju možete pročitati ovdje:
https://jdstaerk.substack.com/p/we-just-found-malicious-code-in-the

[ovcijisir]

~

Modifikacije koda su srećom i igrom slučaja otkrivene nakon što je jedan od kompromitovanih paketa javljao grešku. Nakon pregleda, developeri su otkrili sumnjive funkcije i novi kod. Da je to spretnije odrađeno, pitanje je kad bi se kompromitovani paketi otkrili.

Zapravo je taj hack slucajno otkriven jer ga napadaci nisu dobro napisali pa je javljao gresku? Pa ovo je dosta veliki propust, bas me zabrinulo jer imam vecinu portfolia na Metamasku trenutno, a svasta se moglo dogoditi da propust nije otkriven na vrijeme...

Zlonamjerni kod je zapravo bio clipboard malware, kreiran da promjeni adresu na koju žrtva šalje kripto u adresu pod kontrolom hakera. Ovaj malware je tražio i napadao web i softverske novčanike koje koriste JavaScript, kakav je npr. MetaMask za desktop. Ali i neki softverski novčanici od poznatih hardverskih kompanija navodno koriste JavaScript kao što su Ledger Live ili Trezor Suite. Ovo nije potvrđeno i predstavnici svih kompanija i developeri walleta su u većini slučajeve preko X objavili da njihovi softveri nisu kompromitovani niti da koriste izmijenjene pakete.

Malware je koristio poseban algoritam koji je birao adrese koje najviše liče na one adrese na koje su žrtve slale kripto kako bi spriječio da se otkrije.

~

Ovo su se zbilja pametno dosjetili, da generiraju vise adresa i u clipboardu mijenjaju najslicnije. Zato bi uvijek trebalo kontrolirati prve i zadnje cetri brojke/slova, tako slicne adrese napadaci tesko da mogu generirati.

[Pmalek]

Zapravo je taj hack slucajno otkriven jer ga napadaci nisu dobro napisali pa je javljao gresku? Pa ovo je dosta veliki propust, bas me zabrinulo jer imam vecinu portfolia na Metamasku trenutno, a svasta se moglo dogoditi da propust nije otkriven na vrijeme...

Da si u periodu dok su kompromitovani paketi bili dio MetaMaska pravio transakcije moguće da bi bio pogođen. Ali ako odvojiš malo vremena i dobro provjeriš adrese na koje šalješ tokene, onda bi vidio razliku između onoga što ti MetaMask pokazuje i izvorne adrese na koju imaš namjeru slati.

Ovo su se zbilja pametno dosjetili, da generiraju vise adresa i u clipboardu mijenjaju najslicnije. Zato bi uvijek trebalo kontrolirati prve i zadnje cetri brojke/slova, tako slicne adrese napadaci tesko da mogu generirati.

Kako tehnologija bude napredovala, postat će sve lakše i lakše generirati slične adrese. Provjeravati samo nekoliko prvih i zadnjih znakova više nije sigurno. Bolje je steći naviku provjeravati cijelu adresu. Ne oduzima previše vremena. Naročito kod slanja većih iznosa čovjek se sigurnije osjeća.

[examplens]

qix je dobio phishing email koji je ličio na poruku NPM korisničke službe nakon čega je resetovao svoju šifru i 2FA i na taj način hakeru dao pristup svom nalogu.   

Vecina velikih hakova se desilo nakon sto je neka bitna sifra ukradena. Dakle, svi sigurnosni protokoli, razni layeri a gotovo uvek je najslabija tacka covek i makar i kratka nesmotrenost.

Ovo su se zbilja pametno dosjetili, da generiraju vise adresa i u clipboardu mijenjaju najslicnije. Zato bi uvijek trebalo kontrolirati prve i zadnje cetri brojke/slova, tako slicne adrese napadaci tesko da mogu generirati.

Kako tehnologija bude napredovala, postat će sve lakše i lakše generirati slične adrese. Provjeravati samo nekoliko prvih i zadnjih znakova više nije sigurno. Bolje je steći naviku provjeravati cijelu adresu. Ne oduzima previše vremena. Naročito kod slanja većih iznosa čovjek se sigurnije osjeća.

Da, provera cele adrese bi trebalo biti obavezna.
Ako se dobro secam, i ovde na forumu su neki clanovi nudili generisanje specificnih adresa, pa koliko sam shvatio, prvih par karaktera nije cak ni predstavljalo prevelik problem.

[Pmalek]

Vecina velikih hakova se desilo nakon sto je neka bitna sifra ukradena. Dakle, svi sigurnosni protokoli, razni layeri a gotovo uvek je najslabija tacka covek i makar i kratka nesmotrenost.

Tako je. Bez obzira što neki sustav po prirodi može biti trustless, kakav je Bitcoin, u pozadini su developeri i ljudi koji održavaju i unaprjeđuju cijelu stvar. Kao korisnik, ti i dalje zavisiš od njih. Čak i ako oni imaju najbolje namjere, može se desiti isto ili slično što se desilo qix-u. Neko dobije pristup projektima koje održava i zloupotrijebi to.

Ovdje je nekoliko faktora uticalo na to da posljedice ne budu puno gore. Prije svega to što su ti JavaScript paketi open-source i mnogi su mogli proanalizirati šta se dešava. Jedan paket je javio build grešku što je potaklo druge developere da pogledaju šta nije uredu i šta je mijenjano. Većina softvera koji zavisi od tih JavaScript paketa nije povukla update. Moguće da su konfigurisani da to rade u određeno vrijeme što se nije poklapalo s periodom od 2 sata dok su promijenjeni paketi bili live.     

[slackovic]

Da, ovo je moglo imati puno veće posljedice da je alat napravljen bolje. Vjerujem da bi se hack svejedno brzo otkrio čak i da nije bilo greške u kodu jer bi netko sigurno postavio pitanje zašto je njegov kripto otišao na adresu X ako ga je on poslao na adresu Y. Ali bez greške bi ukradeni iznos bio puno veći jer da su Metamask ili Rabby povukli nadogradnju, jako puno korisnika bi ostalo bez svog kripta.

Ova provjera početka i kraja adrese nije samo problem korisnika. Neki walleti kod slanja kripta korisničku pokažu adresu u obliku 0x2n4m...8df7. Ja obično provjerim na taj način kad šaljem manje iznose. Ali kod većih iznosa ipak provjerim cijelu adresu.

[examplens]

A ko ce ga znati koliko duboko je steta otisla.
Ovo sam video na nekoj grupi, gde se korisnik zali da je trenutno izgubio pristup Ledger nano walletu. Nekako se desilo u vreme ovog hacka. Ipak, Ledger je u pitanju, pa nista nije iznenadjujuce.

[Pmalek]

Ovo sam video na nekoj grupi, gde se korisnik zali da je trenutno izgubio pristup Ledger nano walletu. Nekako se desilo u vreme ovog hacka. Ipak, Ledger je u pitanju, pa nista nije iznenadjujuce.

Mislim da su to dva skroz različita slučaja. Kiln je jedan od partner servisa unutar Ledger Live aplikacije. To je neka DeFi i staking platforma. A poštu su partner Ledgeru, onda se staking može direktno sa hardverskog novčanika vršiti. Kiln je prije par dana objavio da su imali neki sigurnosni propust i vjerovatno su hakirani. Kako obično u takvim situacijama biva, prekida se rad platforme dok se situacija ne riješi.

Taj koji tvrdi da je izgubio pristup svom Ledgeru postavio je sliku s Ledger Live aplikacije gdje se vidi obavještenje u vezi Kiln.