Попередження | Команда безпеки KuCoin виявила атаку на ланцюг поставок, спрямовану на користувачів біржі
Вступ
12 лютого 2025 року технічна безпекова команда KuCoin виявила атаку на ланцюг поставок, спрямовану на користувачів основних централізованих бірж (CEX) через власну розроблену платформу безпекового сканування. Команда швидко відреагувала та проаналізувала зловмисні дії, вбудовані в пакет залежностей. Наразі зловмисна залежність була завантажена сотні разів. Команда безпеки KuCoin повідомила про зловмисну залежність офіційній команді NPM та видає це попередження, щоб попередити користувачів про необхідність бути обережними.
Приклад аналізу
Приклад поведінки
Платформа з безпеки KuCoin виявила пакет-залежність, який приховується під SDK API KuCoin у офіційному NPM-репозиторії. При встановленні через npm цей пакет отримує секретні ключі, збережені на сервері або локальному комп'ютері користувача, і відправляє їх на зловмисний домен: http://ihlkoqayjlegsltkrlhf1sg6hpfdbmrgy[.]oast[.]fun
Приклад аналізу
Аналіз через сандрейс-сканувальний платформу KuCoin виявив, що ця зловмисна залежність прикидалася SDK-залежнісними пакетами, пов’язаними як з KuCoin, так і з Kraken, у офіційному репозиторії NPM.
Ці типи залежностей використовують зашифровані назви, щоб залучити користувачів до встановлення підроблених пакетів залежностей. Під час процесу встановлення вони вбудовують зловмисні команди, які витягують файли з секретними ключами з локального середовища або сервера користувача та відправляють ці дані на зловмисний домен через DNSlog.
Спеціфічна точка виклику зловмисної діяльності наступна: зловмисна команда виконується під час підфази попередньої установки пакета залежностей.
Усі 10 пакетів залежностей у репозиторії цього шкідливого джерела демонструють однакове поведінку.
Профіль атакуючого
Розслідування виявило такі дані реєстрації, пов’язані з атакувальником у офіційному репозиторії NPM:
Username: superhotuser1
Email: tafes30513@shouxs[.]com
За даними verifymail.io, домен shouxs[.]com пов’язаний з тимчасовими електронними адресами, що вказує на те, що атакувальник — досвідчений хакер, який вміє використовувати проти-слідкуючі техніки.
Опис загрози
Атаки на ланцюг поставок становлять значні ризики. З їх розвитком їхній вплив поширюється, оскільки багато проектів залежать від великої кількості пакетів від третіх осіб. Як тільки зловмисний пакет публікується і широко використовується, його наслідки швидко поширюються. Зловмисні залежності можуть вкрадати чутливу інформацію користувачів, таку як змінні середовища, ключі API та користувацькі дані, що призводить до витоків даних. Вони також можуть виконувати знищувальні дії, такі як видалення файлів, шифрування даних (шпіонське ПЗ), або порушення роботи системи. Крім того, атакувальники можуть вбудовувати в пакет зворотні ворота, що дозволяє довгостроковий контроль над впливаними системами та виконання подальших атак.
Зловмисні залежності, що націлені саме на KuCoin і Kraken, вкрадають ключі входу користувачів. Якщо користувачі ввійдуть до своїх особистих комп'ютерів або серверів за допомогою імен користувачів і паролів, існує значний ризик того, що їхні сервери можуть бути скомпрометовані.
На момент видачі цього попередження командою безпеки KuCoin зловмисна залежність була завантажена сотні разів. Статистика завантажень така:
kucoin-production, завантаження: 67
kucoin-main, завантаження: 70
kucoin-internal, завантаження: 63
kucoin-test, завантаження: 69
kucoin-dev, завантаження: 66
kraken-dev, завантаження: 70
kraken-main, завантаження: 65
kraken-production, завантаження: 67
kraken-test, завантаження: 65
kraken-internal, завантаження: 64
IOC
|
Тип |
Значення |
Зауваження |
|
Домен |
Зловмисний піддомен Dnslog |
|
|
Підозрілий URL джерела залежності |
||
|
Хеш пакету установки |
cc07e9817e1da39f3d2666859cfaee3dd6d4a9052353babdc8e57c27e0bafc07 kucoin-main-19.4.9.tgz db516926a9950b9df351f714c9ed0ae4b521b1b37336480e2dd5d5c9a8118b53 kucoin-production-19.4.9.tgz 2e0e190d7f1af6e47849142eec76b69e9a5324258f6ea388696b1e2e6d87e2f8 kucoin-dev-19.4.9.tgz ea1da680560eefa3b55a483a944feeee292f273873007c09fd971582839a7989 kucoin-test-19.4.9.tgz 6de0c9adf18a472027235f435f440a86cfae58e84be087a2dde9b5eec8eba80c kucoin-internal-19.4.9.tgz 1c9c5fd79c3371838907a108298dfb5b9dd10692b021b664a54d2093b668f722 kraken-test-19.4.9.tgz 371d9ba2071b29a1e857697d751f3716f0749a05495899f2320ba78530a884c5 kraken-dev-19.4.9.tgz be50cb0c9c84fec7695ae775efc31da5c2c7279068caf08bd5c4f7e04dbc748f kraken-production-19.4.9.tgz 8b1576d6bba74aa9d66a0d7907c9afe8725f30dcf1d277c63c590adf6d8c1a4e kraken-main-19.4.9.tgz 7fa9feb4776c7115edbcd6544ed1fd8d9b0988eeda1434ba45b8ea0803e02f21 kraken-internal-19.4.9.tgz |
Злобна залежність Пакет Sha256 значення |
Мінімізація ризиків
З моменту, коли зловмисник завантажив шкідливу залежність, до моменту, коли безпекова команда KuCoin виявила її, минув менше одного дня. Команда безпеки KuCoin вже повідомила про цю проблему офіційній команді NPM, хоча подальше розслідування та видалення може зайняти деякий час. Тим часом, KuCoin видала це публічне попередження, щоб попередити користувачів та допомогти запобігти компрометації.
Відмова від відповідальності: Для вашої зручності цю сторінку було перекладено за допомогою технології ШІ (на базі GPT). Для отримання найточнішої інформації дивіться оригінальну англійську версію.