На прошлой неделе разработчики JavaScript-библиотеки solana/web3.js сообщили об обнаружении бэкдора, который позволял злоумышленникам красть средства у пользователей. Библиотека входит в набор SDK для блокчейн-платформы Solana и может использоваться разработчиками других приложений, если они хотят реализовать поддержку этой платформы или проводить платежи с использованием связанной криптовалюты SOL. Таким образом, данный инцидент является примером атаки на цепочку поставок, когда взлом одного компонента в итоге приводит к компрометации множества приложений.


Это еще один инцидент, в котором вредоносный код добавлялся в проект с открытым исходным кодом, также с целью дальнейшего внедрения в другие проекты. Библиотека solana/web3.js распространяется через репозиторий NPM, где ее скачивают в среднем 350 тысяч раз в неделю. По данным разработчиков библиотеки, 3 декабря кто-то получил доступ к учетной записи с правами публикации обновлений и в течение нескольких часов выложил целых два обновления со встроенным бэкдором.

Номера двух неавторизованных обновлений — 1.95.6 и 1.95.7. После обнаружения взлома была выложена «безопасная» версия 1.95.8. По информации отсюда, в них была добавлена следующая функция:


Данный кусок кода используется несколько раз, он последовательно собирает приватные ключи для доступа к криптокошелькам, которые обрабатываются библиотекой, и отправляет их на сервер злоумышленников. Эти ключи в дальнейшем позволяют организаторам атаки перевести средства в криптовалюте на собственные счета.

Как это обычно происходит с атаками типа Supply Chain, достоверно определить масштаб ущерба практически невозможно. Все зависит от того, какие приложения успели обратиться к версии с бэкдором, а также от функциональности этих приложений — совершенно не обязательно, что они работают с приватными ключами для доступа к криптокошелькам либо обрабатывают их с помощью именно этой библиотеки. По данным разработчиков solana/web3.js, бэкдор мог попасть в другие проекты, если к коду библиотеки обращались в течение ограниченного промежутка времени, с 15:20 до 20:25 по времени UTC 3 декабря.

После этого доступ взломщиков к аккаунту разработчиков был прекращен, а взломанные версии библиотеки удалены. Несмотря на достаточно оперативную реакцию, создатели библиотеки рекомендуют другим разработчикам, если они подозревают, что могли быть скомпрометированы, провести комплексную ротацию ключей доступа. По данным издания BleepingComputer, через день после атаки в кошельке, ассоциированном с организаторами данной атаки, хранилось криптовалюты на сумму примерно 184 тысячи долларов.

Что еще произошло


Эксперты «Лаборатории Касперского» опубликовали отчет об эволюции эксплойтов и уязвимостей в ПО в третьем квартале 2024 года. Еще одна статья посвящена предсказаниям по развитию тенденций в сфере конфиденциальности потребителей на 2025 год. Кроме того, специалисты «Лаборатории Касперского» разобрали свежую кибератаку, в которой вредоносный код распространяется под видом «кряка» для бухгалтерского ПО.

Издание Ars Technica пишет о масштабном сбое в сервисе каршеринга Zipcar. Распродажа в «черную пятницу» привела к увеличению нагрузки на инфраструктуру компании, в результате чего многие клиенты не могли получить доступ к арендованным автомобилям либо не могли завершить аренду. Пострадавшие часами пытались дозвониться в техподдержку, а многим пользователям, из-за условий использования автомобилей, грозили крупные штрафы.

Критические уязвимости обнаружены в популярном плагине Spam protection, Anti-Spam, FireWall by CleanTalk для WordPress, более чем с 200 тысячами установок. Уязвимости позволяют обойти систему авторизации и получить полный контроль над веб-сайтом.

Еще одна атака на пользователей криптовалют маскирует вредоносный код под клиент для проведения конференц-звонков.

Комментарии (1)


  1. poluvasyan
    11.12.2024 14:16

    "Cause: Believed to be the result of a social engineering/phishing attack targeting maintainers of the official Web3.js open source library maintained by Solana."

    Интересно было бы узнать как именно получили несанкционированный доступ к учетке.