แจ้งเตือน | ทีมความปลอดภัยของ KuCoin จับกุมการโจมตีทางห่วงโซ่อุปทานที่มุ่งเป้าไปที่ผู้ใช้แพลตฟอร์มการแลกเปลี่ยนคริปโต

เมื่อวันที่ 12 กุมภาพันธ์ 2025 ทีมความปลอดภัยของ KuCoin ตรวจพบการโจมตีโซ่อุปทานที่มุ่งเป้าไปที่ผู้ใช้ของตลาดแลกเปลี่ยนคริปโตหลัก (CEXs) ผ่านแพลตฟอร์มสแกนความปลอดภัยที่พัฒนาเอง ทีมได้ตอบสนองและวิเคราะห์พฤติกรรมที่เป็นอันตรายที่ฝังอยู่ในแพ็กเกจที่พึ่งพาอย่างรวดเร็ว ณ ตอนนี้ แพ็กเกจที่เป็นอันตรายนี้ถูกดาวน์โหลดแล้วหลายร้อยครั้ง ทีมความปลอดภัยของ KuCoin ได้รายงานแพ็กเกจที่เป็นอันตรายต่อทีมงานอย่างเป็นทางการของ NPM และกำลังเผยแพร่การแจ้งเตือนนี้เพื่อเตือนผู้ใช้ให้ระมัดระวัง 

พฤติกรรมตัวอย่าง 

แพลตฟอร์มสแกนความปลอดภัยของ KuCoin ตรวจพบแพ็กเกจที่มีการพึ่งพายซึ่งแอบอ้างเป็น KuCoin API SDK ใน NPM รีพอยต์อย่างเป็นทางการ เมื่อติดตั้งผ่าน npm แพ็กเกจนี้จะดึงคีย์ลับที่เก็บอยู่บนเซิร์ฟเวอร์หรือเครื่องคอมพิวเตอร์ของผู้ใช้และส่งไปยังโดเมนที่มีเจตนาไม่ดี: http://ihlkoqayjlegsltkrlhf1sg6hpfdbmrgy[.]oast[.]fun

ตัวอย่างการวิเคราะห

การวิเคราะห์ผ่านแพลตฟอร์มสแกนแซนด์บ็อกซ์ของ KuCoin พบว่าการพึ่งพาที่เป็นอันตรายนี้แกล้งทำเป็นแพ็กเกจการพึ่งพา SDK ที่เกี่ยวข้องกับทั้ง KuCoin และ Kraken บนคลังเก็บ NPM อย่างเป็นทางการ

ประเภทของความพึ่งพันเหล่านี้ใช้ชื่อที่ถูกปิดบังเพื่อล่อให้ผู้ใช้ติดตั้งแพ็กเกจความพึ่งพันปลอม ในระหว่างกระบวนการติดตั้ง พวกมันจะฝังคำสั่งที่เป็นอันตรายซึ่งดึงไฟล์คีย์ลับจากสภาพแวดล้อมหรือเซิร์ฟเวอร์ของผู้ใช้ และส่งข้อมูลไปยังโดเมนที่เป็นอันตรายผ่าน DNSlog

จุดกระตุ้นที่เฉพาะเจาะจงของพฤติกรรมที่เป็นอันตรายคือดังนี้: คำสั่งที่เป็นอันตรายถูกดำเนินการระหว่างขั้นตอนก่อนการติดตั้งของแพ็กเกจที่พึ่งพา

ทั้ง 10 แพ็กเกจที่พึ่งพาในคลังของแหล่งที่เป็นอันตรายนี้แสดงพฤติกรรมเหมือนกัน 

โปรไฟล์ผู้โจมตี 

การสืบสวนได้ค้นพบรายละเอียดการลงทะเบียนต่อไปนี้ที่เชื่อมโยงกับผู้โจมตีบนคลังเก็บของ NPM อย่างเป็นทางการ: 

Username: superhotuser1
อีเมล: tafes30513@shouxs[.]com 

ตามข้อมูลจาก verifymail.io โดเมน shouxs[.]com มีความเกี่ยวข้องกับบริการอีเมลชั่วคราว ซึ่งบ่งชี้ว่าผู้โจมตีเป็นแฮกเกอร์ที่มีประสบการณ์และเชี่ยวชาญในเทคนิคการป้องกันการติดตาม

คำอธิบายภัยคุกคาม 

การโจมตีทางห่วงโซ่อุปทานสร้างความเสี่ยงที่สำคัญ เมื่อการโจมตีเหล่านี้พัฒนา ผลกระทบของพวกมันก็เพิ่มขึ้น เนื่องจากโครงการจำนวนมากพึ่งพาแพ็กเกจจากบุคคลที่สามจำนวนมาก เมื่อมีการเผยแพร่แพ็กเกจที่มีอันตรายและถูกใช้อย่างแพร่หลาย ผลกระทบของมันจะกระจายตัวอย่างรวดเร็ว ความพึ่งพาระบบอันตรายสามารถขโมยข้อมูลผู้ใช้ที่ละเอียดอ่อน เช่น ตัวแปรสภาพแวดล้อม คีย์ API และข้อมูลผู้ใช้ ซึ่งนำไปสู่การรั่วไหลของข้อมูล นอกจากนี้ พวกมันยังสามารถดำเนินการที่ทำลายล้าง เช่น การลบไฟล์ การเข้ารหัสข้อมูล (ransomware) หรือการรบกวนระบบ นอกจากนี้ ผู้โจมตีอาจฝังประตูด้านหลัง (backdoor) ไว้ในแพ็กเกจ ซึ่งช่วยให้สามารถควบคุมระบบได้ในระยะยาว และเปิดโอกาสให้เกิดการโจมตีเพิ่มเติม 

การพึ่งพาที่มีเจตนาไม่ดีที่มุ่งเป้าไปที่ KuCoin และ Kraken โดยเฉพาะนั้นจะขโมยคีย์เข้าสู่ระบบของผู้ใช้ หากผู้ใช้เข้าสู่ระบบคอมพิวเตอร์ส่วนตัวหรือเซิร์ฟเวอร์ด้วยชื่อผู้ใช้และรหัสผ่าน จะมีความเสี่ยงสูงที่เซิร์ฟเวอร์ของพวกเขาจะถูกโจมตี 

ณ เวลาที่ทีมความปลอดภัยของ KuCoin ได้เผยแพร่การแจ้งเตือนนี้ ความพึ่งพาที่เป็นอันตรายนี้ถูกดาวน์โหลดแล้วหลายร้อยครั้ง ข้อมูลสถิติการดาวน์โหลดมีดังนี้: 

kucoin-production, downloads: 67
kucoin-main, downloads: 70
kucoin-internal, ดาวน์โหลด: 63
kucoin-test, ดาวน์โหลด: 69
kucoin-dev, ดาวน์โหลด: 66 

kraken-dev, ดาวน์โหลด: 70
kraken-main, downloads: 65
kraken-production, downloads: 67
kraken-test, ดาวน์โหลด: 65
kraken-internal, downloads: 64 

IOC 

ตั้งแต่ผู้โจมตีอัปโหลดดีพีนเดนซีที่เป็นอันตราย จนถึงเวลาที่ทีมความปลอดภัยของ KuCoin ตรวจพบ มีเวลาผ่านไปน้อยกว่าหนึ่งวัน ทีมความปลอดภัยของ KuCoin ได้รายงานปัญหานี้ไปยังทีมงานอย่างเป็นทางการของ NPM แล้ว แม้ว่าการสืบสวนเพิ่มเติมและการลบอาจใช้เวลาอีกสักพัก ในระหว่างนี้ KuCoin ได้ออกคำเตือนสาธารณะนี้เพื่อแจ้งเตือนผู้ใช้และช่วยป้องกันไม่ให้เกิดการละเมิดข้อมูล

คำปฏิเสธความรับผิดชอบ: หน้านี้แปลโดยใช้เทคโนโลยี AI (ขับเคลื่อนโดย GPT) เพื่อความสะดวกของคุณ สำหรับข้อมูลที่ถูกต้องที่สุด โปรดดูต้นฉบับภาษาอังกฤษ