- La infecció inclou almenys 10 paquets criptogràfics principals vinculats a l’ecosistema ENS.
- Un atac anterior de NPM a principis de setembre va donar lloc a 50 milions de dòlars en cripto robades.
- Els investigadors van trobar més de 25.000 dipòsits afectats durant la investigació.
Una nova ronda d’infeccions per NPM ha generat preocupació a la comunitat JavaScript, ja que el programari maliciós Shai Hulud continua movent-se per centenars de biblioteques de programari.
Aikido Security ha confirmat que s’han compromès més de 400 paquets NPM, inclosos almenys 10 àmpliament utilitzats a l’ecosistema criptogràfic.
L’escala del problema posa els desenvolupadors sota pressió immediata per avaluar el risc, especialment aquells que treballen amb eines i aplicacions blockchain.
La divulgació es va produir dilluns quan Aikido Security va publicar una llista detallada de biblioteques contaminades després d’una revisió del comportament inusual a NPM.
Una publicació independent de l’investigador Charles Eriksen també va destacar la llista d’infeccions a X, cridant l’atenció sobre els paquets ENS clau implicats en l’incident.
Les infeccions semblen estar lligades a un atac actiu a la cadena de subministrament que s’ha desenvolupat durant les últimes setmanes, donant impuls a un patró d’augment dels incidents de seguretat a la infraestructura de JavaScript.
L’amenaça s’estén més enllà dels atacs anteriors de NPM
L’augment de les infeccions es produeix després d’una important violació del NPM a principis de setembre. Aquest cas anterior va acabar amb els atacants que van robar 50 milions de dòlars en criptografia, cosa que el va convertir en un dels incidents de la cadena de subministrament més grans relacionats directament amb el robatori d’actius digitals.
Segons Amazon Web Services, l’atac va ser seguit en una setmana per l’aparició de Shai Hulud, que va començar a estendre’s de manera autònoma entre els projectes.
Tot i que l’incident inicial de setembre es va dirigir directament als actius criptogràfics, Shai Hulud funciona de manera diferent. Se centra a recollir credencials de qualsevol entorn que descarregui un paquet infectat. Si hi ha claus de cartera, es tracten com qualsevol altre secret i s’extreuen.
Aquest canvi de comportament fa que el nou incident sigui més ampli d’abast.
En lloc d’apuntar a un únic objectiu, el programari maliciós s’integra als fluxos de treball dels desenvolupadors i es mou a través de les cadenes de dependència, augmentant la possibilitat d’exposició accidental tant en projectes cripto com no en cripto.
Paquets ENS molt afectats
Els paquets criptogràfics afectats a l’última revisió mostren una clara concentració al voltant de l’ecosistema del servei de noms d’Ethereum. Diverses biblioteques relacionades amb ENS, moltes amb desenes de milers de descàrregues setmanals, apareixen a la llista compromesa.
Aquests inclouen contingut-hash, codificador d’adreces, ensjs, ens-validation, ethereum-ens i ens-contracts.
Per donar suport a les troballes, Eriksen va compartir una publicació X detallada on es descriuen els paquets ENS compromesos. Poc després, una segona actualització X d’Eriksen va ampliar la propagació més àmplia d’infeccions que afectaven dipòsits addicionals.
Cada paquet ENS admet funcions utilitzades a les interfícies de cartera, aplicacions blockchain i eines que converteixen noms llegibles per humans en formats llegibles per màquina.
La seva popularitat significa que l’impacte pot anar més enllà dels mantenedors directes fins als desenvolupadors aigües avall que depenen d’ells per a les operacions bàsiques.
També es va identificar una biblioteca criptogràfica separada, crypto-addr-codec, entre els paquets compromesos. Tot i que no està relacionat amb ENS, s’utilitza en processos relacionats amb la cartera i transporta un trànsit setmanal elevat, la qual cosa converteix la seva contaminació en una altra àrea prioritària per a les revisions de seguretat.
Impacte creixent a través del programari no cripto
La propagació no es limita a les eines d’actius digitals. També s’han vist afectades diverses biblioteques no cripto, inclosos els paquets associats a la plataforma d’automatització de flux de treball Zapier.
Alguns d’aquests informen de descàrregues setmanals molt per sobre dels quaranta mil, cosa que indica que el programari maliciós ha arribat a parts de l’ecosistema JavaScript no relacionades amb l’activitat blockchain.
Les biblioteques addicionals destacades en publicacions posteriors mostren nivells de distribució encara més elevats. Un paquet va aparèixer prop de setanta mil descàrregues setmanals.
Un altre va registrar trànsit setmanal per sobre d’un milió i mig, cosa que reflecteix una petjada molt més àmplia del que suggerien els primers informes.
La ràpida expansió ha cridat l’atenció d’altres equips de seguretat. Els investigadors de Wiz van afirmar que havien identificat més de vint-i-cinc mil dipòsits afectats vinculats a uns tres-cents cinquanta usuaris.
També van assenyalar que s’estaven afegint mil dipòsits nous cada trenta minuts en les primeres etapes de la investigació.
Aquest nivell de creixement demostra la rapidesa amb què la contaminació de la cadena de subministrament pot accelerar-se quan els paquets es repliquen a través de les xarxes de dependència.
S’ha aconsellat als desenvolupadors que treballen amb NPM que realitzin comprovacions immediates, validant entorns i escanejant per a una possible exposició.
Amb les cadenes de dependència interconnectades entre diverses indústries, fins i tot els equips fora del sector cripto podrien integrar sense saber-ho paquets infectats.
