警報 | KuCoin 安全團隊截獲針對交易所用戶的供應鏈攻擊

2025 年 2 月 12 日，KuCoin 安全團隊透過其自研的安全掃描平台，發現針對主要中心化交易所（CEX）用戶的供應鏈攻擊。團隊迅速作出回應，並分析依賴套件中嵌入的惡意行為。截至目前為止，該惡意依賴套件已被下載數百次。KuCoin 安全團隊已向 NPM 官方團隊報告該惡意依賴套件，並發出此警告，提醒用戶提高警惕。 

Sample Behavior 

KuCoin 的安全掃描平台在官方 NPM 倉庫中發現一個偽裝成 KuCoin API SDK 的依賴套件。當透過 npm 安裝時，此套件會從用戶的伺服器或本機提取私鑰，並傳送至惡意網域： http://ihlkoqayjlegsltkrlhf1sg6hpfdbmrgy[.]oast[.]fun

範例分析

透過 KuCoin 的沙盒掃描平台分析發現，此惡意依賴項偽裝成與 KuCoin 和 Kraken 相關的 SDK 依賴套件，出現在 NPM 官方倉庫中。

這些類型的依賴項會使用混淆的名稱來欺騙用戶安裝假冒的依賴包。在安裝過程中，它們會嵌入惡意指令，從用戶的本地環境或伺服器中提取私鑰文件，並通過 DNSlog 將數據發送到惡意域名。

惡意行為的具體觸發點如下：在依賴套件的預安裝階段執行了惡意指令。

此惡意來源的存儲庫中所有 10 個依賴套件均表現出相同的行為。 

攻擊者資料 

調查發現與攻擊者在 NPM 官方倉庫相關的以下註冊資料： 

用戶名稱：superhotuser1
電子郵箱：tafes30513@shouxs.com 

根據 verifymail.io 的資料，域名 shouxs[.]com 與臨時電子郵箱服務有關，這表明攻擊者是一名熟練掌握反追蹤技術的經驗豐富的駭客。

威脅描述 

供應鏈攻擊會帶來重大風險。隨著其發展，其影響範圍也會擴大，因為許多項目都依賴眾多第三方套件。一旦發布惡意套件並被廣泛使用，其影響將迅速擴散。惡意依賴項可以竊取敏感用戶資訊，例如環境變數、API 金鑰和用戶資料，導致資料外洩。它們還可以執行破壞性操作，例如刪除檔案、資料加密（勒索軟體）或系統中斷。此外，攻擊者可能在套件中植入後門，從而長期控制受影響的系統，並進一步發動攻擊。 

針對 KuCoin 和 Kraken 的惡意依賴項會竊取用戶的登入金鑰。如果用戶使用用戶名和密碼登入他們的個人電腦或伺服器，其伺服器將面臨重大被入侵風險。 

截至 KuCoin 安全團隊發出此警報時，該惡意依賴項已被下載數百次。下載統計如下： 

kucoin-production，下載次數：67
kucoin-main，下載次數：70
kucoin-internal，下載次數：63
kucoin-test，下載次數：69
kucoin-dev，下載次數：66 

kraken-dev，下載次數：70
kraken-main，下載次數：65
kraken-production，下載次數：67
kraken-test，下載次數：65
kraken-internal，下載次數：64 

IOC 

從攻擊者上傳惡意依賴項到 KuCoin 安全團隊發現它，不到一天的時間。KuCoin 安全團隊已經向 NPM 官方團隊報告了此問題，但進一步的調查和移除可能需要一些時間。同時，KuCoin 發佈此公開警告，以提醒用戶並幫助防止遭受影響。

免責聲明: 本頁面經由 AI 技術（GPT 提供支持）翻譯，旨在方便您的閱讀。欲獲取最準確資訊，請以原始英文版本為準。