Alerte | L'équipe de sécurité KuCoin déjoue une attaque de la chaîne d'approvisionnement ciblant les utilisateurs de l'échange
Introduction
Le 12 février 2025, l'équipe de sécurité de KuCoin a détecté une attaque de la chaîne d'approvisionnement ciblant les utilisateurs des échanges centralisés majeurs (CEX) via sa plateforme de balayage de sécurité développée en interne. L'équipe a rapidement réagi et analysé les comportements malveillants intégrés au package de dépendance. À ce jour, la dépendance malveillante a été téléchargée des centaines de fois. L'équipe de sécurité de KuCoin a signalé la dépendance malveillante à l'équipe officielle de NPM et émet ce message d'alerte pour avertir les utilisateurs de rester vigilants.
Analyse d'exemple
Comportement d'exemple
La plateforme de scan de sécurité de KuCoin a détecté un package de dépendance se faisant passer pour le SDK API KuCoin dans le dépôt officiel NPM. Lorsqu'il est installé via npm, ce package récupère les clés secrètes stockées sur le serveur ou la machine locale de l'utilisateur et les envoie au domaine malveillant : http://ihlkoqayjlegsltkrlhf1sg6hpfdbmrgy[.]oast[.]fun
Analyse d'exemple
Une analyse via la plateforme d'analyse en environnement de test de KuCoin a révélé que cette dépendance malveillante se faisait passer pour des packages de dépendance SDK liés à la fois à KuCoin et à Kraken sur le dépôt officiel NPM.
Ces types de dépendances utilisent des noms obscurcis pour tromper les utilisateurs et les inciter à installer des paquets de dépendance faux. Pendant le processus d'installation, ils insèrent des commandes malveillantes qui extraient les fichiers de clé secrète de l'environnement local de l'utilisateur ou du serveur et envoient les données à un domaine malveillant via DNSlog.
Le point de déclenchement spécifique du comportement malveillant est le suivant : la commande malveillante est exécutée pendant la phase de pré-installation du package de dépendance.
Les 10 paquets de dépendance dans le dépôt de cette source malveillante présentent le même comportement.
Profil de l'attaquant
L'enquête a révélé les détails d'inscription associés à l'attaquant sur le dépôt officiel NPM :
Nom d'utilisateur : superhotuser1
Email : tafes30513@shouxs[.]com
Selon verifymail.io, le domaine shouxs[.]com est associé à des services d'e-mail temporaire, indiquant que l'attaquant est un hacker expérimenté, compétent dans les techniques anti-pistage.
Description de la menace
Les attaques de chaîne d'approvisionnement constituent des risques importants. Alors qu'elles se développent, leur impact s'étend, car de nombreux projets s'appuient sur de nombreux packages tiers. Une fois qu'un package malveillant est publié et largement utilisé, ses effets se propagent rapidement. Les dépendances malveillantes peuvent voler des informations sensibles des utilisateurs, telles que les variables d'environnement, les clés API et les données utilisateur, entraînant des fuites de données. Elles peuvent également exécuter des actions destructrices telles que la suppression de fichiers, le chiffrement des données (rançongiciel) ou la perturbation du système. De plus, les attaquants peuvent implanter des portes dérobées dans le package, permettant un contrôle à long terme des systèmes affectés et facilitant d'autres attaques.
Les dépendances malveillantes ciblant spécifiquement KuCoin et Kraken volent les clés de connexion des utilisateurs. Si les utilisateurs se connectent à leurs ordinateurs personnels ou serveurs en utilisant des noms d'utilisateur et mots de passe, il existe un risque important que leurs serveurs soient compromis.
À la date à laquelle l'équipe de sécurité de KuCoin a émis cet avertissement, la dépendance malveillante avait été téléchargée des centaines de fois. Les statistiques de téléchargement sont les suivantes :
kucoin-production, téléchargements : 67
kucoin-main, téléchargements : 70
kucoin-internal, téléchargements : 63
kucoin-test, téléchargements : 69
kucoin-dev, téléchargements : 66
kraken-dev, téléchargements : 70
kraken-main, téléchargements : 65
kraken-production, téléchargements : 67
kraken-test, téléchargements : 65
kraken-internal, téléchargements : 64
IOC
|
Type |
Valeur |
Remarques |
|
Domaine |
Sous-domaine Malveillant Dnslog |
|
|
Source d'URL de dépendance malveillante |
||
|
Hachage du paquet d'installation |
cc07e9817e1da39f3d2666859cfaee3dd6d4a9052353babdc8e57c27e0bafc07 kucoin-main-19.4.9.tgz db516926a9950b9df351f714c9ed0ae4b521b1b37336480e2dd5d5c9a8118b53 kucoin-production-19.4.9.tgz 2e0e190d7f1af6e47849142eec76b69e9a5324258f6ea388696b1e2e6d87e2f8 kucoin-dev-19.4.9.tgz ea1da680560eefa3b55a483a944feeee292f273873007c09fd971582839a7989 kucoin-test-19.4.9.tgz 6de0c9adf18a472027235f435f440a86cfae58e84be087a2dde9b5eec8eba80c kucoin-internal-19.4.9.tgz 1c9c5fd79c3371838907a108298dfb5b9dd10692b021b664a54d2093b668f722 kraken-test-19.4.9.tgz 371d9ba2071b29a1e857697d751f3716f0749a05495899f2320ba78530a884c5 kraken-dev-19.4.9.tgz be50cb0c9c84fec7695ae775efc31da5c2c7279068caf08bd5c4f7e04dbc748f kraken-production-19.4.9.tgz 8b1576d6bba74aa9d66a0d7907c9afe8725f30dcf1d277c63c590adf6d8c1a4e kraken-main-19.4.9.tgz 7fa9feb4776c7115edbcd6544ed1fd8d9b0988eeda1434ba45b8ea0803e02f21 kraken-internal-19.4.9.tgz |
Valeur Sha256 du package de dépendance malveillant |
Mitigation
Dès le moment où l'attaquant a téléchargé la dépendance malveillante jusqu'au moment où l'équipe de sécurité de KuCoin l'a détectée, moins d'une journée s'est écoulée. L'équipe de sécurité de KuCoin a déjà signalé le problème à l'équipe officielle de NPM, bien que l'enquête approfondie et la suppression puissent prendre un certain temps. En attendant, KuCoin a émis ce message d'alerte public afin d'informer les utilisateurs et d'aider à prévenir tout compromis.
Avertissement : Pour votre confort, cette page a été traduite à l'aide de la technologie IA (GPT). Pour obtenir les informations à la source, consultez la version anglaise originale.