KuCoin
Войти
language_currency
главная
Блог
Tips and Tricks
Детали
img

Предупреждение | Команда безопасности KuCoin обнаружила атаку на цепочку поставок, направленную на пользователей биржи

2025/02/18 07:45:49

Пользовательский изображение

Введение 

12 февраля 2025 года команда безопасности KuCoin обнаружила атаку на цепочку поставок, направленную на пользователей крупных централизованных бирж (CEX), через свою собственную платформу безопасности. Команда быстро отреагировала и проанализировала злонамеренные действия, встроенные в пакет зависимостей. На данный момент злонамеренная зависимость была загружена сотни раз. Команда безопасности KuCoin сообщила о злонамеренной зависимости официальной команде NPM и выпускает это предупреждение, чтобы предупредить пользователей о необходимости соблюдения осторожности. 

Пример анализа 

Пример поведения 

Платформа сканирования безопасности KuCoin обнаружила пакет зависимостей, который выдавался за API SDK KuCoin в официальном репозитории NPM. При установке через npm этот пакет извлекает секретные ключи, хранящиеся на сервере или локальном компьютере пользователя, и отправляет их на вредоносный домен: http://ihlkoqayjlegsltkrlhf1sg6hpfdbmrgy[.]oast[.]fun

Пользовательский изображение

Пример анализа

Анализ через песочницу KuCoin выявил, что эта вредоносная зависимость выдавала себя за пакеты зависимостей SDK, связанные как с KuCoin, так и с Kraken, в официальном репозитории NPM.

Пользовательский изображение

Пользовательский изображение

Эти типы зависимостей используют зашифрованные имена, чтобы обмануть пользователей и заставить их установить поддельные пакеты зависимостей. В процессе установки они внедряют вредоносные команды, которые извлекают файлы секретных ключей из локальной среды или сервера пользователя и отправляют данные на вредоносный домен через DNSlog.

Пользовательский изображение

Специфическая точка активации вредоносного поведения следующая: вредоносная команда выполняется на этапе предустановки пакета зависимостей.

Пользовательский изображение

Все 10 пакетов зависимостей в репозитории этого вредоносного источника проявляют одинаковое поведение. 

Пользовательский изображение

Профиль атакующего 

В ходе расследования были выявлены следующие сведения о регистрации, связанные с атакующим на официальном репозитории NPM: 

Имя пользователя: superhotuser1
Email: tafes30513@shouxs[.]com 

Согласно verifymail.io, домен shouxs[.]com связан с временными электронными сервисами, что указывает на то, что атакующий — опытный хакер, владеющий техниками против слежки.

Пользовательский изображение

Описание угрозы 

Атаки на цепочки поставок представляют значительные риски. По мере их развития их влияние расширяется, поскольку многие проекты зависят от множества сторонних пакетов. Как только вредоносный пакет публикуется и получает широкое распространение, его последствия быстро распространяются. Вредоносные зависимости могут украсть конфиденциальную информацию пользователей, такую как переменные среды, ключи API и данные пользователей, что приведет к утечке данных. Они также могут выполнять разрушительные действия, такие как удаление файлов, шифрование данных (шифровальщик), или нарушение работы системы. Более того, злоумышленники могут внедрить бэкдоры в пакет, что позволит им в течение длительного времени управлять затронутыми системами и вести дальнейшие атаки. 

Злонамеренные зависимости, направленные в частности на KuCoin и Kraken, крадут ключи входа пользователей. Если пользователи входят в свои персональные компьютеры или сервера с использованием имен пользователей и паролей, существует значительный риск того, что их серверы могут быть скомпрометированы. 

На момент публикации этого предупреждения командой безопасности KuCoin злонамеренная зависимость была загружена сотни раз. Статистика загрузок следующая: 

kucoin-production, загрузки: 67
kucoin-main, загрузки: 70
kucoin-internal, загрузки: 63
kucoin-test, загрузки: 69
kucoin-dev, загрузки: 66 

kraken-dev, загрузки: 70
kraken-main, загрузки: 65
kraken-production, загрузки: 67
kraken-test, загрузки: 65
kraken-internal, загрузки: 64 

IOC 

Тип 

Значение 

Примечания 

Домен 

http://ihlkoqayjlegsltkrlhf1sg6hpfdbmrgy[.]oast[.]fun

Злонамеренный поддомен Dnslog 

https://www[.]npmjs[.]com/~superhotuser1

Вредоносный источник зависимостей URL 

Хэш пакета установки 

cc07e9817e1da39f3d2666859cfaee3dd6d4a9052353babdc8e57c27e0bafc07 kucoin-main-19.4.9.tgz 

db516926a9950b9df351f714c9ed0ae4b521b1b37336480e2dd5d5c9a8118b53 kucoin-production-19.4.9.tgz 

2e0e190d7f1af6e47849142eec76b69e9a5324258f6ea388696b1e2e6d87e2f8 kucoin-dev-19.4.9.tgz 

ea1da680560eefa3b55a483a944feeee292f273873007c09fd971582839a7989 kucoin-test-19.4.9.tgz 

6de0c9adf18a472027235f435f440a86cfae58e84be087a2dde9b5eec8eba80c kucoin-internal-19.4.9.tgz 

1c9c5fd79c3371838907a108298dfb5b9dd10692b021b664a54d2093b668f722 kraken-test-19.4.9.tgz 

371d9ba2071b29a1e857697d751f3716f0749a05495899f2320ba78530a884c5 kraken-dev-19.4.9.tgz 

be50cb0c9c84fec7695ae775efc31da5c2c7279068caf08bd5c4f7e04dbc748f kraken-production-19.4.9.tgz 

8b1576d6bba74aa9d66a0d7907c9afe8725f30dcf1d277c63c590adf6d8c1a4e kraken-main-19.4.9.tgz 

7fa9feb4776c7115edbcd6544ed1fd8d9b0988eeda1434ba45b8ea0803e02f21 kraken-internal-19.4.9.tgz 

Значение Sha256 вредоносного пакета зависимостей 

Митигация 

С момента, когда злоумышленник загрузил вредоносную зависимость, до момента, когда команда безопасности KuCoin обнаружила её, прошло менее одного дня. Команда безопасности KuCoin уже сообщила об этой проблеме официальной команде NPM, хотя дальнейшее расследование и удаление могут занять некоторое время. В это время KuCoin выпустил это публичное предупреждение, чтобы предупредить пользователей и помочь предотвратить компрометацию.

 

Отказ от ответственности: Эта страница была переведена для вашего удобства с использованием технологии искусственного интеллекта (на базе GPT). Для получения наиболее точной информации обратитесь к оригинальной английской версии.