KuCoin
Log masuk
language_currency
Halaman Utama
Blog
Tips and Tricks
Perincian
img

Amaran | Pasukan Keselamatan KuCoin Menangkap Serangan Rantaian Bekalan yang Menargetkan Pengguna Penukaran

2025/02/18 07:45:49

Gambar Terkhusus

Pengenalan 

Pada 12 Februari 2025, pasukan keselamatan KuCoin mengesan satu serangan rantaian bekalan yang menargetkan pengguna-pengguna utama pertukaran terpusat (CEX) melalui platform pemindaian keselamatan yang dikembangkan sendiri. Pasukan tersebut segera merangkak dan menganalisis tingkah laku jahat yang tertanam dalam pakej bergantung. Sehingga kini, pakej bergantung jahat itu telah dimuat turun beratus-ratus kali. Pasukan keselamatan KuCoin telah melaporkan pakej bergantung jahat itu kepada pasukan rasmi NPM dan mengeluarkan amaran ini untuk memperingatkan pengguna agar tetap waspada. 

Analisis Contoh 

Sampel Perilaku 

Platform pemindaian keselamatan KuCoin mengesan pakej kebergantungan yang disamaratakan sebagai KuCoin API SDK di repositori rasmi NPM. Apabila dipasang melalui npm, pakej ini akan memperoleh kunci rahsia yang disimpan pada pelayan atau komputer tempatan pengguna dan menghantarkannya ke domain jahat: http://ihlkoqayjlegsltkrlhf1sg6hpfdbmrgy[.]oast[.]fun

Gambar Terkhusus

Analisis Contoh

Analisis melalui platform pemindaian sandbox KuCoin telah menemui bahawa kebergantungan jahat ini memburukkan diri sebagai pakej kebergantungan SDK yang berkaitan dengan KuCoin dan Kraken di repositori rasmi NPM.

Gambar Terkhusus

Gambar Terkhusus

Jenis ketergantungan ini menggunakan nama yang disamarkan untuk menipu pengguna memasang pakej ketergantungan palsu. Semasa proses pemasangan, mereka menyisipkan arahan jahat yang mengekstrak fail kunci rahsia daripada persekitaran tempatan pengguna atau pelayan dan menghantar data tersebut ke domain jahat melalui DNSlog.

Gambar Terkhusus

Titik pencetus khusus bagi tingkah laku jahat adalah seperti berikut: arahan jahat dijalankan semasa fasa pra-pasangan pakej bergantung.

Gambar Terkhusus

Semua 10 pakej bergantung dalam repositori sumber jahat ini menunjukkan kelakuan yang sama. 

Gambar Terkhusus

Profil Pengganas 

Siasatan telah menemui butiran pendaftaran berikut yang berkaitan dengan penggodam di repositori rasmi NPM: 

Nama Pengguna: superhotuser1
E-mel: tafes30513@shouxs[.]com 

Menurut verifymail.io, domain shouxs[.]com dikaitkan dengan perkhidmatan emel sementara, menunjukkan penyerang adalah seorang penggodam yang mahir dalam teknik anti-pengesanan.

Gambar Terkhusus

Penerangan Ancaman 

Serangan rantai bekalan membawa risiko yang besar. Apabila mereka berkembang, kesan mereka berkembang juga, memandangkan banyak projek bergantung kepada banyak pakej pihak ketiga. Sekiranya satu pakej jahat diterbitkan dan digunakan secara meluas, kesannya merebak dengan cepat. Pakej bergantung yang jahat boleh mencuri maklumat pengguna yang sensitif, seperti pemboleh ubah persekitaran, kunci API, dan data pengguna, menyebabkan kebocoran data. Mereka juga boleh melaksanakan tindakan merosakkan seperti penghapusan fail, penghimpunan data (ransomware), atau gangguan sistem. Selain itu, penyerang mungkin memasukkan pintu belakang ke dalam pakej, membolehkan kawalan jangka panjang ke atas sistem yang terjejas dan membolehkan serangan lanjut. 

Pengenalan yang jahat yang sasaran kepada KuCoin dan Kraken khususnya mencuri kunci log masuk pengguna. Jika pengguna log masuk ke komputer peribadi atau pelayan mereka menggunakan nama pengguna dan kata laluan, terdapat risiko yang ketara bahawa pelayan mereka boleh dirompak. 

Pada masa kumpulan keselamatan KuCoin mengeluarkan amaran ini, kebergantungan jahat tersebut telah dimuat turun beratus-ratus kali. Statistik muat turun adalah seperti berikut: 

kucoin-produksi, muat turun: 67
kucoin-main, muat turun: 70
kucoin-internal, muat turun: 63
kucoin-test, muat turun: 69
kucoin-dev, muat turun: 66 

kraken-dev, muat turun: 70
kraken-main, muat turun: 65
kraken-produksi, muat turun: 67
kraken-test, muat turun: 65
kraken-internal, muat turun: 64 

IOC 

Jenis 

Nilai 

Komen 

Domain 

http://ihlkoqayjlegsltkrlhf1sg6hpfdbmrgy[.]oast[.]fun

Subdomain Dnslog Berbahaya 

https://www[.]npmjs[.]com/~superhotuser1

Sumber URL Pembolehubah Bergantung Jahat 

Paket Pemasangan Hash 

cc07e9817e1da39f3d2666859cfaee3dd6d4a9052353babdc8e57c27e0bafc07 kucoin-main-19.4.9.tgz 

db516926a9950b9df351f714c9ed0ae4b521b1b37336480e2dd5d5c9a8118b53 kucoin-production-19.4.9.tgz 

2e0e190d7f1af6e47849142eec76b69e9a5324258f6ea388696b1e2e6d87e2f8 kucoin-dev-19.4.9.tgz 

ea1da680560eefa3b55a483a944feeee292f273873007c09fd971582839a7989 kucoin-test-19.4.9.tgz 

6de0c9adf18a472027235f435f440a86cfae58e84be087a2dde9b5eec8eba80c kucoin-internal-19.4.9.tgz 

1c9c5fd79c3371838907a108298dfb5b9dd10692b021b664a54d2093b668f722 kraken-test-19.4.9.tgz 

371d9ba2071b29a1e857697d751f3716f0749a05495899f2320ba78530a884c5 kraken-dev-19.4.9.tgz 

be50cb0c9c84fec7695ae775efc31da5c2c7279068caf08bd5c4f7e04dbc748f kraken-production-19.4.9.tgz 

8b1576d6bba74aa9d66a0d7907c9afe8725f30dcf1d277c63c590adf6d8c1a4e kraken-main-19.4.9.tgz 

7fa9feb4776c7115edbcd6544ed1fd8d9b0988eeda1434ba45b8ea0803e02f21 kraken-internal-19.4.9.tgz 

Pakej Pembolehubah Ketergantungan Jahat Sha256 

Pengurangan risiko 

Dari masa penyerang memuat naik kebergantungan jahat ke saat pasukan keselamatan KuCoin mengesan ia, kurang daripada satu hari telah berlalu. Pasukan keselamatan KuCoin telah melaporkan isu ini kepada pasukan rasmi NPM, walaupun siasatan lanjut dan penghapusan mungkin mengambil masa. Sementara itu, KuCoin telah mengeluarkan amaran awam ini untuk memeringatkan pengguna dan membantu mencegah kompromi.

 

Penafian: Halaman ini telah diterjemahkan dengan menggunakan teknologi AI (dikuasakan oleh GPT) untuk keselesaan anda. Untuk mendapatkan maklumat yang paling tepat, rujuk kepada versi bahasa Inggeris asal.