Уязвимость в популярной JavaScript-библиотеке Ripple ‘xrpl.js’ позволила злоумышленникам похищать криптоключи пользователей.
Скомпрометированные версии библиотеки, распространявшиеся через официальный репозиторий NPM, содержали вредоносный код, маскирующийся под рекламный трафик.
Екатерина Едемская, инженер-аналитик компании «Газинформсервис», подчёркивает важность мониторинга поведения библиотек и систем SIEM-защиты для раннего выявления и предотвращения подобных атак.
«Вредоносный код, внедрённый через официальные обновления NPM, предоставил злоумышленникам возможность похищать конфиденциальную информацию, такую как приватные ключи и seed-фразы. Это подчёркивает важность тщательной проверки всех компонентов, используемых в разработке, даже если они кажутся безопасными, ведь злоумышленники могут действовать через известные каналы и инструменты, как в данном случае — через библиотеку с миллионами загрузок», — объясняет киберэксперт.
Вредоносный код был добавлен в файлы библиотеки index.ts, где новая функция checkValidityOfSeed отправляла приватные данные через POST-запросы на внешний сервер, контролируемый атакующими. Атака маскировалась под рекламный трафик с помощью фальшивого заголовка User-Agent, затрудняя её обнаружение.
Эксперт отмечает, что подобных атак можно избежать, если на ранних стадиях выявлять аномалии и подозрительные действия в системе: «Это возможно благодаря комплексным инструментам мониторинга, которые способны отслеживать изменения и аномалии в режиме реального времени. Именно такие инструменты, как SIEM-система Ankey SIEM NG, могут стать важным элементом защиты, позволяя оперативно обнаруживать и реагировать на инциденты безопасности ещё до того, как они смогут нанести значительный ущерб».
Скомпрометированные версии библиотеки, распространявшиеся через официальный репозиторий NPM, содержали вредоносный код, маскирующийся под рекламный трафик.
Екатерина Едемская, инженер-аналитик компании «Газинформсервис», подчёркивает важность мониторинга поведения библиотек и систем SIEM-защиты для раннего выявления и предотвращения подобных атак.
«Вредоносный код, внедрённый через официальные обновления NPM, предоставил злоумышленникам возможность похищать конфиденциальную информацию, такую как приватные ключи и seed-фразы. Это подчёркивает важность тщательной проверки всех компонентов, используемых в разработке, даже если они кажутся безопасными, ведь злоумышленники могут действовать через известные каналы и инструменты, как в данном случае — через библиотеку с миллионами загрузок», — объясняет киберэксперт.
Вредоносный код был добавлен в файлы библиотеки index.ts, где новая функция checkValidityOfSeed отправляла приватные данные через POST-запросы на внешний сервер, контролируемый атакующими. Атака маскировалась под рекламный трафик с помощью фальшивого заголовка User-Agent, затрудняя её обнаружение.
Эксперт отмечает, что подобных атак можно избежать, если на ранних стадиях выявлять аномалии и подозрительные действия в системе: «Это возможно благодаря комплексным инструментам мониторинга, которые способны отслеживать изменения и аномалии в режиме реального времени. Именно такие инструменты, как SIEM-система Ankey SIEM NG, могут стать важным элементом защиты, позволяя оперативно обнаруживать и реагировать на инциденты безопасности ещё до того, как они смогут нанести значительный ущерб».
