Nagbabala ang Microsoft na itinago ng mga umaatake ang malware na nagnanakaw ng crypto sa loob ng mga pampublikong npm package, na lumilikha ng bagong panganib para sa mga developer, crypto investor, at gumagamit ng wallet.
Sinabi ng Microsoft Threat Intelligence na dalawang nakompromisong npm package, ang [email protected] at [email protected], ay “inaabuso ang mga Hugging Face repo bilang infrastructure ng exfiltration.” Sinabi ng kumpanya na ang mga package ay nagde-deploy ng remote access trojan, o RAT, na kayang mangolekta ng mga keystroke, screenshot, at mga kredensyal ng crypto wallet.
Ang Npm ay isang pampublikong software registry na ginagamit ng mga JavaScript developer upang bumuo ng mga app at web tool. Kapag nag-install ang isang developer ng nalason na package, ang malware ay maaaring tumakbo nang tahimik sa device at magbantay ng mga sensitibong file, password, o data ng wallet.
Nangingibabaw ang kampanya dahil ginamit ng mga umaatake ang Hugging Face, isang pinagkakatiwalaang platform para sa mga proyekto ng artificial intelligence at machine learning, upang ilipat ang ninakaw na data. Maaaring gawing mas hindi kahina-hinala ng rutang iyon ang trapiko kaysa sa direktang link sa isang hindi kilalang criminal server.
Para sa mga gumagamit ng crypto, lumilikha ito ng direktang alalahanin sa seguridad. Ang isang developer machine ay maaaring mag-imbak ng mga browser wallet, private key, seed phrase file, exchange API key, GitHub token, at cloud login. Kung makolekta ng mga umaatake ang mga detalyeng iyon, maaari nilang puntiryahin ang mga wallet, code repository, at trading system.
Ipinapakita ng kaugnay na saklaw ng crypto.news na ang mga supply-chain attack sa software ay nananatiling isang buhay na problema para sa sektor ng crypto. Isang ulat noong Mayo 25 ang nagsabi na kumalat ang TrapDoor malware campaign sa mahigit 34 na mapanlinlang na package sa mga ecosystem ng npm, PyPI, at Rust.
Pinuntirya ng kampanyang iyon ang mga crypto at AI developer sa pamamagitan ng pagnanakaw ng data ng wallet, API key, cloud credential, at SSH access sa pamamagitan ng mga pekeng developer tool. Ipinakita rin nito kung paano pinupuntirya ngayon ng mga umaatake ang mga tao at sistema na ginagamit upang bumuo ng mga crypto app, hindi lamang ang mga end user.
Iniulat din ng Crypto.news noong Marso na nagbabala ang Slow Fog sa mga developer tungkol sa mga mapanlinlang na Axios release. Ang mga nalason na bersyon ay nagpasok ng plain-crypto-js malware at inilantad ang mga crypto developer sa mga cross-platform RAT at ninakaw na kredensyal sa pamamagitan ng npm.
Ang babala ng Microsoft ay sumunod sa isa pang ulat ng malware mula sa mga security team nito. Noong Mayo 26, sinabi ng Microsoft na ginamit ng mga umaatake ang nalason na resulta ng paghahanap at ilang interaksyon ng AI chatbot upang ikalat ang mga pekeng download ng PC utility na nag-install ng GPU mining malware.
Pinuntirya ng kampanyang iyon ang mga gumagamit na may malalakas na graphics card, kabilang ang mga gamer at mahilig sa hardware. Sinabi ng Microsoft na inabuso ng malware ang ScreenConnect, mga Microsoft .NET utility, at mga pekeng download para sa mga tool tulad ng CrystalDiskInfo at HWMonitor upang magpatakbo ng mga crypto miner.
Ang pinakabagong babala sa npm ay nagpapanatili ng atensyon sa mga pangunahing hakbang sa seguridad. Dapat suriin ng mga developer ang mga kamakailang pag-install ng package, alisin ang mga kahina-hinalang dependency, paikutin ang mga nakalantad na kredensyal, at suriin ang aktibidad ng wallet. Dapat iwasan ng mga gumagamit ng crypto ang pag-iimbak ng mga seed phrase sa mga nakakonektang device at i-verify ang bawat transaksyon ng wallet bago mag-sign.
