Abiso | Napinsala ng KuCoin Security Team ang Supply Chain na Pag-atake na Nakakapekto sa Mga User ng Exchange
Pagsisimula
Noong Pebrero 12, 2025, nadiskubre ng KuCoin security team ang isang supply chain attack na tumutulong sa mga user ng mga pangunahing centralized exchanges (CEXs) sa pamamagitan ng kanilang sariling inimbento na security scanning platform. Mabilis na tumugon at inanalisa ng koponan ang mga masasamang ugali na nakaimbak sa dependency package. Hanggang ngayon, ang masasamang dependency ay nakuha na daan-daang beses. Iulat ng KuCoin security team ang masasamang dependency sa opisyales ng NPM at inilalabas ang babala na ito upang paunlarin ang mga user na manatiling alerto.
Sample Analysis
Sample Behavior
Nakita ng security scanning platform ng KuCoin ang isang dependency package na nagsasagabal bilang KuCoin API SDK sa opisyal na NPM repository. Kapag in-install sa pamamagitan ng npm, nagrere-kolekta ito ng mga secret key na naka-store sa server o lokal na machine ng user at isinusumite ito sa malicious domain: http://ihlkoqayjlegsltkrlhf1sg6hpfdbmrgy[.]oast[.]fun
Sample Analysis
Ang pagsusuri sa pamamagitan ng sandbox scanning platform ng KuCoin ay nagpapakita na ang dependensyang mapanlinlang na ito ay nagmamaliw na bilang SDK dependency packages na may kaugnayan sa parehong KuCoin at Kraken sa opisyal na repository ng NPM.
Ang mga uri ng dependency na ito ay gumagamit ng mga obfuscated na pangalan upang trickin ang mga user na i-install ang mga fake dependency package. Sa panahon ng proseso ng pag-install, sila ay nag-embed ng mga malicious command na kumuha ng secret key files mula sa lokal na kapaligiran o server ng user at ipadala ang data sa isang malicious domain sa pamamagitan ng DNSlog.
Ang partikular na trigger point ng masasamang pag-uugali ay sumusunod: isinasagawa ang masasamang utos noong pre-installation phase ng dependency package.
Lahat ng 10 dependency package sa repository ng malicious na source na ito ay nagpapakita ng parehong ugali.
Profile ng Attacker
Nakita ng imbestigasyon ang mga sumusunod na detalye ng pagrehistro na kasunod sa napapalabas na hacker sa opisyal na repository ng NPM:
Username: superhotuser1
Email: tafes30513@shouxs[.]com
Ayon kay verifymail.io, ang domain na shouxs[.]com ay kaugnay ng mga pansamantalang serbisyo ng email, na nagpapahiwatig na ang manlulupig ay isang may kasanihan na hacker na may kasanayan sa mga teknik ng anti-tracking.
Paliwanag ng Banta
Ang mga supply chain attack ay nagdudulot ng malalaking panganib. Habang sila ay umuunlad, ang kanilang epekto ay lumalawig, sapagkat maraming proyekto ang umuunlad sa maraming third-party na mga package. Sa sandaling isang masamang package ay nailathala at malawakang ginagamit, ang kanyang epekto ay mabilis na sumisira. Ang mga masamang dependency ay maaaring kumuha ng sensitibong impormasyon ng user, tulad ng mga environment variable, API keys, at user data, na nagdudulot ng data leak. Maaari silang magawa ng mga mapaminsalang aksyon tulad ng pag-delete ng file, data encryption (ransomware), o pagkakaantala ng system. Bukod dito, maaari ang mga manlulupig na mailatag ng backdoor sa loob ng package, na nagbibigay ng pangmatagalang kontrol sa mga naapektuhang system at nagpapahintulot sa karagdagang mga atake.
Ang mga dependensya na may masamang layunin na tumutulong sa KuCoin at Kraken ay partikular na kumukuha ng mga susi sa pag-login ng user. Kung ang mga user ay naglalog-in sa kanilang mga personal na computer o server gamit ang mga username at password, mayroon isang malaking panganib na maaaring masira ang kanilang mga server.
Noong oras na inilabas ng security team ng KuCoin ang alarma na ito, binubuo na ng libu-libong pag-download ang masamang dependency. Ang mga estadistika ng pag-download ay sumusunod:
kucoin-production, downloads: 67
kucoin-main, downloads: 70
kucoin-internal, downloads: 63
kucoin-test, downloads: 69
kucoin-dev, downloads: 66
kraken-dev, downloads: 70
kraken-main, downloads: 65
kraken-production, downloads: 67
kraken-test, downloads: 65
kraken-internal, downloads: 64
IOC
|
Type |
Halaga |
Mga Puna |
|
Domain |
Malicious Dnslog Subdomain |
|
|
Pangitang Dependency Source URL |
||
|
Installation Package Hash |
cc07e9817e1da39f3d2666859cfaee3dd6d4a9052353babdc8e57c27e0bafc07 kucoin-main-19.4.9.tgz db516926a9950b9df351f714c9ed0ae4b521b1b37336480e2dd5d5c9a8118b53 kucoin-production-19.4.9.tgz 2e0e190d7f1af6e47849142eec76b69e9a5324258f6ea388696b1e2e6d87e2f8 kucoin-dev-19.4.9.tgz ea1da680560eefa3b55a483a944feeee292f273873007c09fd971582839a7989 kucoin-test-19.4.9.tgz 6de0c9adf18a472027235f435f440a86cfae58e84be087a2dde9b5eec8eba80c kucoin-internal-19.4.9.tgz 1c9c5fd79c3371838907a108298dfb5b9dd10692b021b664a54d2093b668f722 kraken-test-19.4.9.tgz 371d9ba2071b29a1e857697d751f3716f0749a05495899f2320ba78530a884c5 kraken-dev-19.4.9.tgz be50cb0c9c84fec7695ae775efc31da5c2c7279068caf08bd5c4f7e04dbc748f kraken-production-19.4.9.tgz 8b1576d6bba74aa9d66a0d7907c9afe8725f30dcf1d277c63c590adf6d8c1a4e kraken-main-19.4.9.tgz 7fa9feb4776c7115edbcd6544ed1fd8d9b0988eeda1434ba45b8ea0803e02f21 kraken-internal-19.4.9.tgz |
Pangkarahasan Dependency Package Sha256 Value |
Pagpapawi
Mula sa oras na in-upload ng attacker ang masasamang dependency hanggang sa sandaling nalikuran ito ng security team ng KuCoin, kulang lang sa isang araw ang lumipas. Ang security team ng KuCoin ay nasa proseso nang mag-ulat ng isyu sa opisyales ng NPM, bagaman maaaring kailanganin ng oras ang karagdagang imbestigasyon at pagtanggal. Samantala, inilabas ng KuCoin ang abiso na ito upang abutin ang mga user at tulungan silang maiwasan ang kompromiso.
Disclaimer: AI technology (powered ng GPT) ang ginamit sa pag-translate ng page na ito para sa convenience mo. Para sa pinaka-accurate na impormasyon, mag-refer sa original na English version.