Ключи в чужих руках: хакеры обманули NPM

Уязвимость в популярной JavaScript-библиотеке Ripple ‘xrpl.js’ позволила злоумышленникам похищать криптоключи пользователей. Скомпрометированные версии библиотеки, распространявшиеся через официальный репозиторий NPM, содержали вредоносный код, маскирующийся под рекламный трафик.

Екатерина Едемская, инженер-аналитик компании «Газинформсервис», подчёркивает важность мониторинга поведения библиотек и систем SIEM-защиты для раннего выявления и предотвращения подобных атак.

«Вредоносный код, внедрённый через официальные обновления NPM, предоставил злоумышленникам возможность похищать конфиденциальную информацию, такую как приватные ключи и seed-фразы. Это подчёркивает важность тщательной проверки всех компонентов, используемых в разработке, даже если они кажутся безопасными, ведь злоумышленники могут действовать через известные каналы и инструменты, как в данном случае — через библиотеку с миллионами загрузок», — объясняет киберэксперт.

Вредоносный код был добавлен в файлы библиотеки index.ts, где новая функция checkValidityOfSeed отправляла приватные данные через POST-запросы на внешний сервер, контролируемый атакующими. Атака маскировалась под рекламный трафик с помощью фальшивого заголовка User-Agent, затрудняя её обнаружение.

Эксперт отмечает, что подобных атак можно избежать, если на ранних стадиях выявлять аномалии и подозрительные действия в системе: «Это возможно благодаря комплексным инструментам мониторинга, которые способны отслеживать изменения и аномалии в режиме реального времени. Именно такие инструменты, как SIEM-система Ankey SIEM NG от компании "Газинформсервис", могут стать важным элементом защиты, позволяя оперативно обнаруживать и реагировать на инциденты безопасности ещё до того, как они смогут нанести значительный ущерб».