KuCoin
Masuk
language_currency
Halaman Utama
Blog
Tips and Tricks
Rincian
img

Peringatan | Tim Keamanan KuCoin Menangkap Serangan Rantai Pasok yang Menargetkan Pengguna Bursa

2025/02/18 07:45:49

Gambar Kustom

Pengantar 

Pada 12 Februari 2025, tim keamanan KuCoin mendeteksi serangan rantai pasok yang menargetkan pengguna bursa terpusat (CEX) utama melalui platform pemindaian keamanan yang dikembangkan sendiri. Tim segera merespons dan menganalisis perilaku jahat yang tertanam dalam paket ketergantungan. Sampai saat ini, ketergantungan jahat tersebut telah diunduh ratusan kali. Tim keamanan KuCoin telah melaporkan ketergantungan jahat tersebut ke tim resmi NPM dan mengeluarkan peringatan ini untuk memperingatkan pengguna agar tetap waspada. 

Analisis Contoh 

Perilaku Contoh 

Platform pemindaian keamanan KuCoin mendeteksi paket ketergantungan yang berpura-pura menjadi KuCoin API SDK di repositori NPM resmi. Saat diinstal melalui npm, paket ini mengambil kunci rahasia yang disimpan di server atau komputer lokal pengguna dan mengirimkannya ke domain berbahaya: http://ihlkoqayjlegsltkrlhf1sg6hpfdbmrgy[.]oast[.]fun

Gambar Kustom

Analisis Contoh

Analisis melalui platform pemindaian sandbox KuCoin mengungkapkan bahwa ketergantungan jahat ini berpura-pura menjadi paket ketergantungan SDK yang terkait dengan KuCoin dan Kraken di repositori resmi NPM.

Gambar Kustom

Gambar Kustom

Jenis ketergantungan ini menggunakan nama yang diobfuscasi untuk menipu pengguna agar menginstal paket ketergantungan palsu. Selama proses instalasi, mereka menyisipkan perintah jahat yang mengekstrak berkas kunci rahasia dari lingkungan lokal pengguna atau server dan mengirimkan data tersebut ke domain jahat melalui DNSlog.

Gambar Kustom

Titik pemicu spesifik dari perilaku jahat adalah sebagai berikut: perintah jahat dijalankan selama fase pre-installasi paket ketergantungan.

Gambar Kustom

Semua 10 paket ketergantungan dalam repositori sumber jahat ini menunjukkan perilaku yang sama. 

Gambar Kustom

Profil Pelaku Serangan 

Penyelidikan mengungkapkan detail pendaftaran berikut yang terkait dengan penyerang di repositori resmi NPM: 

Username: superhotuser1
Email: tafes30513@shouxs[.]com 

Menurut verifymail.io, domain shouxs[.]com terkait dengan layanan email sementara, menunjukkan bahwa penyerang adalah seorang hacker berpengalaman yang terampil dalam teknik anti-pelacakan.

Gambar Kustom

Deskripsi Ancaman 

Serangan rantai pasokan menimbulkan risiko yang signifikan. Seiring berkembangnya serangan ini, dampaknya semakin meluas, mengingat banyak proyek bergantung pada berbagai paket pihak ketiga. Setelah paket jahat dipublikasikan dan digunakan secara luas, efeknya menyebar dengan cepat. Ketergantungan jahat dapat mencuri informasi pengguna yang sensitif, seperti variabel lingkungan, kunci API, dan data pengguna, yang menyebabkan kebocoran data. Mereka juga dapat mengeksekusi tindakan merusak seperti penghapusan file, enkripsi data (ransomware), atau gangguan sistem. Selain itu, penyerang mungkin menyisipkan pintu belakang dalam paket tersebut, memungkinkan kontrol jangka panjang terhadap sistem yang terkena dampaknya dan memungkinkan serangan lebih lanjut. 

Ketergantungan jahat yang menargetkan KuCoin dan Kraken secara khusus mencuri kunci login pengguna. Jika pengguna masuk ke komputer pribadi atau server mereka menggunakan nama pengguna dan kata sandi, ada risiko signifikan bahwa server mereka bisa diretas. 

Saat tim keamanan KuCoin mengeluarkan peringatan ini, dependensi jahat tersebut telah diunduh ratusan kali. Statistik unduhan adalah sebagai berikut: 

kucoin-production, unduhan: 67
kucoin-main, unduhan: 70
kucoin-internal, unduhan: 63
kucoin-test, unduhan: 69
kucoin-dev, unduhan: 66 

kraken-dev, unduhan: 70
kraken-main, unduhan: 65
kraken-production, unduhan: 67
kraken-test, unduhan: 65
kraken-internal, unduhan: 64 

IOC 

Jenis 

Nilai 

Keterangan 

Domain 

http://ihlkoqayjlegsltkrlhf1sg6hpfdbmrgy[.]oast[.]fun

Subdomain Dnslog Berbahaya 

https://www[.]npmjs[.]com/~superhotuser1

Sumber URL Ketergantungan Berbahaya 

Hash Paket Instalasi 

cc07e9817e1da39f3d2666859cfaee3dd6d4a9052353babdc8e57c27e0bafc07 kucoin-main-19.4.9.tgz 

db516926a9950b9df351f714c9ed0ae4b521b1b37336480e2dd5d5c9a8118b53 kucoin-production-19.4.9.tgz 

2e0e190d7f1af6e47849142eec76b69e9a5324258f6ea388696b1e2e6d87e2f8 kucoin-dev-19.4.9.tgz 

ea1da680560eefa3b55a483a944feeee292f273873007c09fd971582839a7989 kucoin-test-19.4.9.tgz 

6de0c9adf18a472027235f435f440a86cfae58e84be087a2dde9b5eec8eba80c kucoin-internal-19.4.9.tgz 

1c9c5fd79c3371838907a108298dfb5b9dd10692b021b664a54d2093b668f722 kraken-test-19.4.9.tgz 

371d9ba2071b29a1e857697d751f3716f0749a05495899f2320ba78530a884c5 kraken-dev-19.4.9.tgz 

be50cb0c9c84fec7695ae775efc31da5c2c7279068caf08bd5c4f7e04dbc748f kraken-production-19.4.9.tgz 

8b1576d6bba74aa9d66a0d7907c9afe8725f30dcf1d277c63c590adf6d8c1a4e kraken-main-19.4.9.tgz 

7fa9feb4776c7115edbcd6544ed1fd8d9b0988eeda1434ba45b8ea0803e02f21 kraken-internal-19.4.9.tgz 

Paket Ketergantungan Berbahaya Nilai Sha256 

Mitigasi 

Dari saat penyerang mengunggah dependensi jahat hingga tim keamanan KuCoin mendeteksinya, kurang dari satu hari telah berlalu. Tim keamanan KuCoin telah melaporkan masalah tersebut ke tim resmi NPM, meskipun penyelidikan lebih lanjut dan penghapusan mungkin memakan waktu. Sementara itu, KuCoin telah mengeluarkan peringatan publik ini untuk memperingatkan pengguna dan membantu mencegah kompromi.

 

Penafian: Halaman ini diterjemahkan menggunakan teknologi AI (didukung oleh GPT) untuk kenyamanan Anda. Untuk informasi yang paling akurat, lihat versi bahasa Inggris aslinya.