gm! JS инфраструктура в очередной раз поддается атакам на криптанов. В этот раз задели несколько старых системных JS пак…
gm! JS инфраструктура в очередной раз поддается атакам на криптанов.
В этот раз задели несколько старых системных JS пакетов – debug (357M установок в неделю) и chalk (299М установок в неделю) и пачку остальных, с помощью взлома Git одного из предыдуших мейнтейнеров. Можно прочитать полный репорт здесь от владельца взломанного аккаунта. Вкратце – взлом 2FA доступов к NPM через email.
Как это может задеть вас?
При обыкновенном подключении кошелька ничего без вашего ведома не произойдет.
Скрипт внедряется в любую страницу, содержащую JS код и проверяет наличие Ethereum кошельков (с помощью проверки `window.ethereum`), затем при попытке отправки любой транзакции через кошелек просто подменяет адрес получателя.
Уязвимым может оказаться буквально любой веб-сайт, который в течение последних пары часов обновлял свои зависимости и установил взломанную версию. На текущий момент с NPM уже удалили версию с багом
Кажется, что ближайшие пару дней лучше избегать подписи транзакций, либо быть максимально внимательным к адресу получения. Адрес злоумышленника – 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976
Что сделать разработчикам?
Проверьте lock файлы, ведь взломанные пакеты по большей части служебные и могут не использоваться напрямую в проекте.
Обфусцированный скрипт оставили здесь, а тут немного больше деталей, как он работает под капотом.
Issues с предупреждениями и больше технических деталей:
https://github.com/chalk/chalk/issues/656
https://github.com/debug-js/debug/issues/1005
но tbh пока выглядит как самая грустная атака, кошелек абсолютно пустой 🥰