Alerta | Equipe de Segurança da KuCoin Detecta Ataque de Cadeia de Fornecimento Direcionado a Usuários da Exchange
Introdução
Em 12 de fevereiro de 2025, a equipe de segurança da KuCoin detectou um ataque de cadeia de suprimentos direcionado a usuários de grandes exchanges centralizadas (CEXs) por meio de sua plataforma de varredura de segurança desenvolvida internamente. A equipe respondeu rapidamente e analisou os comportamentos maliciosos incorporados no pacote de dependência. Até o momento, a dependência maliciosa foi baixada centenas de vezes. A equipe de segurança da KuCoin notificou a dependência maliciosa à equipe oficial do NPM e está emitindo este alerta para advertir os usuários a permanecerem vigilantes.
Análise de exemplo
Comportamento de amostra
A plataforma de varredura de segurança da KuCoin detectou um pacote de dependência disfarçado como o SDK da API KuCoin no repositório oficial NPM. Quando instalado via npm, este pacote recupera chaves secretas armazenadas no servidor ou máquina local do usuário e as envia para o domínio malicioso: http://ihlkoqayjlegsltkrlhf1sg6hpfdbmrgy[.]oast[.]fun
Análise de Exemplo
Uma análise por meio da plataforma de varredura de sandbox da KuCoin revelou que essa dependência maliciosa estava se disfarçando como pacotes de dependência SDK relacionados tanto à KuCoin quanto à Kraken no repositório oficial do NPM.
Esses tipos de dependências utilizam nomes ofuscados para enganar os usuários a instalar pacotes de dependência falsos. Durante o processo de instalação, eles incorporam comandos maliciosos que extraem arquivos de chave secreta do ambiente local do usuário ou do servidor e enviam os dados para um domínio malicioso por meio do DNSlog.
O ponto de gatilho específico do comportamento malicioso é o seguinte: o comando malicioso é executado durante a fase de pré-instalação do pacote de dependência.
Todos os 10 pacotes de dependência no repositório desta fonte maliciosa exibem o mesmo comportamento.
Perfil do Atacante
A investigação revelou os seguintes detalhes de registro associados ao atacante no repositório oficial do NPM:
Nome de usuário: superhotuser1
Email: tafes30513@shouxs[.]com
De acordo com verifymail.io, o domínio shouxs[.]com está associado a serviços de e-mail temporários, indicando que o atacante é um hacker experiente, especializado em técnicas de anti-rastreamento.
Descrição da Ameaça
Ataques à cadeia de suprimentos representam riscos significativos. À medida que se desenvolvem, seu impacto se expande, pois muitos projetos dependem de diversos pacotes de terceiros. Uma vez que um pacote malicioso seja publicado e amplamente utilizado, seus efeitos se espalham rapidamente. Dependências maliciosas podem roubar informações sensíveis dos usuários, como variáveis de ambiente, chaves de API e dados do usuário, levando a vazamentos de dados. Elas também podem executar ações destrutivas, como exclusão de arquivos, criptografia de dados (ransomware) ou interrupção do sistema. Além disso, os atacantes podem implantar backdoors no pacote, permitindo o controle de longo prazo sobre os sistemas afetados e facilitando ataques adicionais.
As dependências maliciosas que visam especificamente a KuCoin e a Kraken roubam as chaves de login dos usuários. Se os usuários fizerem login em seus computadores pessoais ou servidores usando nomes de usuário e senhas, existe um risco significativo de que seus servidores possam ser comprometidos.
Na época em que a equipe de segurança da KuCoin emitiu este alerta, a dependência maliciosa já havia sido baixada centenas de vezes. As estatísticas de download são as seguintes:
kucoin-production, downloads: 67
kucoin-main, downloads: 70
kucoin-internal, downloads: 63
kucoin-test, downloads: 69
kucoin-dev, downloads: 66
kraken-dev, downloads: 70
kraken-main, downloads: 65
kraken-production, downloads: 67
kraken-test, downloads: 65
kraken-internal, downloads: 64
IOC
|
Tipo |
Valor |
Observações |
|
Domínio |
Subdomínio Malicioso Dnslog |
|
|
Fonte URL de Dependência Maliciosa |
||
|
Hash do Pacote de Instalação |
cc07e9817e1da39f3d2666859cfaee3dd6d4a9052353babdc8e57c27e0bafc07 kucoin-main-19.4.9.tgz db516926a9950b9df351f714c9ed0ae4b521b1b37336480e2dd5d5c9a8118b53 kucoin-production-19.4.9.tgz 2e0e190d7f1af6e47849142eec76b69e9a5324258f6ea388696b1e2e6d87e2f8 kucoin-dev-19.4.9.tgz ea1da680560eefa3b55a483a944feeee292f273873007c09fd971582839a7989 kucoin-test-19.4.9.tgz 6de0c9adf18a472027235f435f440a86cfae58e84be087a2dde9b5eec8eba80c kucoin-internal-19.4.9.tgz 1c9c5fd79c3371838907a108298dfb5b9dd10692b021b664a54d2093b668f722 kraken-test-19.4.9.tgz 371d9ba2071b29a1e857697d751f3716f0749a05495899f2320ba78530a884c5 kraken-dev-19.4.9.tgz be50cb0c9c84fec7695ae775efc31da5c2c7279068caf08bd5c4f7e04dbc748f kraken-production-19.4.9.tgz 8b1576d6bba74aa9d66a0d7907c9afe8725f30dcf1d277c63c590adf6d8c1a4e kraken-main-19.4.9.tgz 7fa9feb4776c7115edbcd6544ed1fd8d9b0988eeda1434ba45b8ea0803e02f21 kraken-internal-19.4.9.tgz |
Pacote de dependência malicioso Valor Sha256 |
Mitigação
Desde o momento em que o atacante carregou a dependência maliciosa até o momento em que a equipe de segurança da KuCoin a detectou, menos de um dia havia se passado. A equipe de segurança da KuCoin já relatou o problema à equipe oficial do NPM, embora investigações adicionais e a remoção possam levar algum tempo. Enquanto isso, a KuCoin emitiu este aviso público para alertar os usuários e ajudar a prevenir compromissos.
Aviso legal: Esta página foi traduzida usando tecnologia de IA (alimentada por GPT) para sua conveniência. Para informações mais precisas, consulte a versão original em inglês.