Cảnh báo | Đội ngũ An ninh KuCoin Bắt giữ Cuộc tấn công Chuỗi cung ứng nhắm vào Người dùng Sàn giao dịch
Giới thiệu
Vào ngày 12 tháng 2 năm 2025, đội ngũ an ninh của KuCoin đã phát hiện một cuộc tấn công chuỗi cung ứng nhắm vào người dùng của các sàn giao dịch tập trung lớn (CEX) thông qua nền tảng quét an ninh tự phát triển của mình. Đội ngũ đã nhanh chóng phản ứng và phân tích các hành vi độc hại được nhúng trong gói phụ thuộc. Tính đến nay, gói phụ thuộc độc hại đã được tải xuống hàng trăm lần. Đội ngũ an ninh của KuCoin đã báo cáo gói phụ thuộc độc hại này cho đội ngũ chính thức của NPM và đang phát hành cảnh báo này để cảnh báo người dùng cần cảnh giác.
Phân tích mẫu
Hành vi mẫu
Nền tảng quét bảo mật của KuCoin phát hiện một gói phụ thuộc được giả mạo dưới danh nghĩa là KuCoin API SDK trong kho lưu trữ NPM chính thức. Khi được cài đặt qua npm, gói này sẽ truy xuất các khóa bí mật được lưu trên máy chủ hoặc máy tính cục bộ của người dùng và gửi chúng đến miền độc hại: http://ihlkoqayjlegsltkrlhf1sg6hpfdbmrgy[.]oast[.]fun
Phân tích mẫu
Phân tích thông qua nền tảng quét sandbox của KuCoin cho thấy rằng sự phụ thuộc độc hại này đã giả dạng thành các gói phụ thuộc SDK liên quan đến cả KuCoin và Kraken trên kho lưu trữ chính thức NPM.
Loại phụ thuộc này sử dụng tên được mã hóa để lừa người dùng cài đặt các gói phụ thuộc giả mạo. Trong quá trình cài đặt, chúng chèn các lệnh độc hại trích xuất tệp khóa bí mật từ môi trường cục bộ hoặc máy chủ của người dùng và gửi dữ liệu đến một miền độc hại thông qua DNSlog.
Điểm kích hoạt cụ thể của hành vi độc hại như sau: lệnh độc hại được thực thi trong giai đoạn tiền cài đặt của gói phụ thuộc.
Tất cả 10 gói phụ thuộc trong kho lưu trữ của nguồn độc hại này đều thể hiện hành vi giống nhau.
Hồ sơ Hacker
Cuộc điều tra đã phát hiện các thông tin đăng ký sau đây liên quan đến người tấn công trên kho lưu trữ chính thức của NPM:
Tên người dùng: superhotuser1
Email: tafes30513@shouxs[.]com
Theo verifymail.io, tên miền shouxs[.]com liên quan đến dịch vụ email tạm thời, cho thấy người tấn công là một hacker có kinh nghiệm, thành thạo các kỹ thuật chống theo dõi.
Mô tả mối đe dọa
Các cuộc tấn công chuỗi cung ứng gây ra những rủi ro đáng kể. Khi chúng phát triển, ảnh hưởng của chúng lan rộng, bởi vì nhiều dự án phụ thuộc vào nhiều gói bên thứ ba. Ngay khi một gói độc hại được công bố và sử dụng rộng rãi, tác động của nó lan nhanh. Các phụ thuộc độc hại có thể đánh cắp thông tin nhạy cảm của người dùng, chẳng hạn như biến môi trường, khóa API và dữ liệu người dùng, dẫn đến rò rỉ dữ liệu. Chúng cũng có thể thực hiện các hành động phá hủy như xóa tệp, mã hóa dữ liệu (phần mềm tống tiền) hoặc làm gián đoạn hệ thống. Ngoài ra, tin tặc có thể cấy cài cửa sau trong gói, cho phép kiểm soát dài hạn đối với các hệ thống bị ảnh hưởng và mở đường cho các cuộc tấn công tiếp theo.
Các phụ thuộc độc hại nhắm mục tiêu cụ thể vào KuCoin và Kraken đã đánh cắp các khóa đăng nhập của người dùng. Nếu người dùng đăng nhập vào máy tính cá nhân hoặc máy chủ của họ bằng tên người dùng và mật khẩu, có rủi ro đáng kể rằng máy chủ của họ có thể bị xâm nhập.
Tính đến thời điểm đội ngũ an ninh của KuCoin đưa ra cảnh báo này, gói phụ thuộc độc hại đã được tải xuống hàng trăm lần. Thống kê tải về như sau:
kucoin-production, downloads: 67
kucoin-main, downloads: 70
kucoin-internal, downloads: 63
kucoin-test, downloads: 69
kucoin-dev, downloads: 66
kraken-dev, downloads: 70
kraken-main, downloads: 65
kraken-production, downloads: 67
kraken-test, tải về: 65
kraken-internal, downloads: 64
IOC
|
Loại |
Giá trị |
Ghi chú |
|
Lĩnh vực |
Tên miền phụ Dnslog độc hại |
|
|
Nguồn URL Phụ thuộc Tệ nạn |
||
|
Băm gói cài đặt |
cc07e9817e1da39f3d2666859cfaee3dd6d4a9052353babdc8e57c27e0bafc07 kucoin-main-19.4.9.tgz db516926a9950b9df351f714c9ed0ae4b521b1b37336480e2dd5d5c9a8118b53 kucoin-production-19.4.9.tgz 2e0e190d7f1af6e47849142eec76b69e9a5324258f6ea388696b1e2e6d87e2f8 kucoin-dev-19.4.9.tgz ea1da680560eefa3b55a483a944feeee292f273873007c09fd971582839a7989 kucoin-test-19.4.9.tgz 6de0c9adf18a472027235f435f440a86cfae58e84be087a2dde9b5eec8eba80c kucoin-internal-19.4.9.tgz 1c9c5fd79c3371838907a108298dfb5b9dd10692b021b664a54d2093b668f722 kraken-test-19.4.9.tgz 371d9ba2071b29a1e857697d751f3716f0749a05495899f2320ba78530a884c5 kraken-dev-19.4.9.tgz be50cb0c9c84fec7695ae775efc31da5c2c7279068caf08bd5c4f7e04dbc748f kraken-production-19.4.9.tgz 8b1576d6bba74aa9d66a0d7907c9afe8725f30dcf1d277c63c590adf6d8c1a4e kraken-main-19.4.9.tgz 7fa9feb4776c7115edbcd6544ed1fd8d9b0988eeda1434ba45b8ea0803e02f21 kraken-internal-19.4.9.tgz |
Giá trị Sha256 của gói phụ thuộc độc hại |
Giảm thiểu
Từ thời điểm người tấn công tải lên phụ thuộc độc hại đến lúc đội ngũ an ninh của KuCoin phát hiện ra, chưa đầy một ngày đã trôi qua. Đội ngũ an ninh của KuCoin đã báo cáo sự việc này cho nhóm chính thức của NPM, tuy nhiên việc điều tra và loại bỏ có thể mất một khoảng thời gian. Trong khi đó, KuCoin đã đưa ra cảnh báo công khai này để cảnh báo người dùng và giúp ngăn chặn sự xâm nhập.
Tuyên bố từ chối trách nhiệm: Trang này được dịch bằng công nghệ AI (do GPT cung cấp) để thuận tiện cho bạn. Để biết thông tin chính xác nhất, hãy tham khảo bản gốc tiếng Anh.