- Infeksi tersebut mencakup setidaknya 10 paket kripto utama yang terkait dengan ekosistem ENS.
- Serangan NPM sebelumnya pada awal September menghasilkan 50 juta dolar dalam kripto yang dicuri.
- Para peneliti menemukan lebih dari 25.000 repositori yang terkena dampak selama penyelidikan.
Babak baru infeksi NPM telah memicu kekhawatiran di seluruh komunitas JavaScript karena malware Shai Hulud terus bergerak melalui ratusan perpustakaan perangkat lunak.
Aikido Security telah mengonfirmasi bahwa lebih dari 400 paket NPM telah disusupi, termasuk setidaknya 10 yang banyak digunakan di seluruh ekosistem kripto.
Skala masalah menempatkan pengembang di bawah tekanan langsung untuk menilai risiko, terutama mereka yang bekerja dengan alat dan aplikasi blockchain.
Pengungkapan itu terjadi pada hari Senin ketika Aikido Security merilis daftar terperinci perpustakaan yang terkontaminasi menyusul tinjauan perilaku yang tidak biasa di NPM.
Sebuah posting terpisah dari peneliti Charles Eriksen juga menyoroti daftar infeksi di X, menarik perhatian pada paket ENS utama yang terlibat dalam insiden tersebut.
Infeksi tampaknya terkait dengan serangan rantai pasokan aktif yang telah terjadi dalam beberapa pekan terakhir, menambah momentum pada pola meningkatnya insiden keamanan dalam infrastruktur JavaScript.
Ancaman meluas melampaui serangan NPM sebelumnya
Lonjakan infeksi mengikuti pelanggaran NPM besar pada awal September. Kasus sebelumnya berakhir dengan penyerang mencuri kripto senilai 50 juta dolar, menjadikannya salah satu insiden rantai pasokan terbesar yang terkait langsung dengan pencurian aset digital.
Menurut Amazon Web Services , serangan itu diikuti dalam waktu seminggu dengan munculnya Shai Hulud, yang mulai menyebar secara mandiri di seluruh proyek.
Sementara insiden awal September menargetkan aset kripto secara langsung, Shai Hulud beroperasi secara berbeda. Ini berfokus pada pengumpulan kredensial dari lingkungan apa pun yang mengunduh paket yang terinfeksi. Jika kunci dompet kebetulan ada, kunci dompet diperlakukan seperti rahasia lainnya dan diekstraksi.
Pergeseran perilaku ini membuat insiden baru lebih luas dalam cakupan.
Alih-alih membidik satu tujuan, malware mengintegrasikan dirinya ke dalam alur kerja pengembang dan bergerak melalui rantai dependensi, meningkatkan kemungkinan paparan yang tidak disengaja di seluruh proyek kripto dan non-kripto.
Paket ENS sangat terpengaruh
Paket kripto yang terpengaruh dalam ulasan terbaru menunjukkan konsentrasi yang jelas di sekitar ekosistem Ethereum Name Service. Beberapa perpustakaan terkait ENS, banyak dengan puluhan ribu unduhan mingguan, muncul dalam daftar yang disusupi.
Ini termasuk content-hash, address-encoder, ensjs, ens-validation, ethereum-ens, dan ens-contracts.
Untuk mendukung temuan tersebut, Eriksen membagikan postingan X terperinci yang menguraikan paket ENS yang disusupi. Tak lama setelah itu, pembaruan X kedua dari Eriksen memperluas penyebaran infeksi yang lebih luas yang memengaruhi repositori tambahan.
Setiap paket ENS mendukung fungsi yang digunakan di seluruh antarmuka dompet, aplikasi blockchain, dan alat yang mengubah nama yang dapat dibaca manusia menjadi format yang dapat dibaca mesin.
Popularitas mereka berarti bahwa dampaknya dapat melampaui pengelola langsung ke pengembang hilir yang mengandalkan mereka untuk operasi inti.
Perpustakaan kripto terpisah, crypto-addr-codec, juga diidentifikasi di antara paket yang disusupi. Meskipun tidak terkait dengan ENS, ini digunakan dalam proses terkait dompet dan membawa lalu lintas mingguan yang tinggi, menjadikan kontaminasinya area prioritas lain untuk tinjauan keamanan.
Dampak yang tumbuh di seluruh perangkat lunak non-kripto
Penyebaran tidak terbatas pada alat aset digital. Beberapa perpustakaan non-kripto juga terpengaruh, termasuk paket yang terkait dengan platform otomatisasi alur kerja Zapier .
Beberapa di antaranya melaporkan unduhan mingguan jauh di atas empat puluh ribu, menunjukkan malware telah mencapai bagian ekosistem JavaScript yang tidak terkait dengan aktivitas blockchain.
Perpustakaan tambahan yang disorot dalam posting selanjutnya menunjukkan tingkat distribusi yang lebih tinggi. Satu paket muncul hampir tujuh puluh ribu unduhan mingguan.
Yang lain mencatat lalu lintas mingguan di atas satu setengah juta, mencerminkan jejak yang jauh lebih luas daripada yang disarankan oleh laporan awal.
Ekspansi yang cepat telah menarik perhatian dari tim keamanan lainnya. Para peneliti di Wiz menyatakan bahwa mereka telah mengidentifikasi lebih dari dua puluh lima ribu repositori yang terkena dampak yang terkait dengan sekitar tiga ratus lima puluh pengguna.
Mereka juga mencatat bahwa seribu repositori baru ditambahkan setiap tiga puluh menit pada tahap awal penyelidikan.
Tingkat pertumbuhan ini menunjukkan seberapa cepat kontaminasi rantai pasokan dapat dipercepat ketika paket mereplikasi di seluruh jaringan dependensi.
Pengembang yang bekerja dengan NPM telah disarankan untuk melakukan pemeriksaan segera, memvalidasi lingkungan, dan memindai kemungkinan paparan.
Dengan rantai ketergantungan yang saling terkait di berbagai industri, bahkan tim di luar sektor kripto dapat tanpa sadar mengintegrasikan paket yang terinfeksi.
