Δύο εκδόσεις του δημοφιλούς πακέτου Axios βρέθηκαν παραποιημένες από κακόβουλους χάκερ, με αποτέλεσμα να εκτεθούν κωδικοί πρόσβασης, κλειδιά API και πορτοφόλια κρυπτονομισμάτων. Οι εταιρείες κυβερνοασφάλειας καλούν τους προγραμματιστές να αντιμετωπίσουν τα επηρεαζόμενα συστήματα ως πλήρως παραβιασμένα. Το περιστατικό αναδεικνύει πόσο εύκολα μια μολυσμένη βιβλιοθήκη λογισμικού μπορεί να επηρεάσει χιλιάδες εφαρμογές και τους χρήστες τους.
Ένα από τα πιο διαδεδομένα εργαλεία στον κόσμο της ανάπτυξης λογισμικού βρέθηκε στο επίκεντρο επίθεσης που θέτει σε κίνδυνο δεδομένα προγραμματιστών, πλατφορμών και τελικών χρηστών. Το Axios, μια βιβλιοθήκη JavaScript που χρησιμοποιείται ευρέως για την επικοινωνία εφαρμογών με διαδικτυακές υπηρεσίες, εντοπίστηκε παραποιημένο σε δύο συγκεκριμένες εκδόσεις του.
Οι εκδόσεις axios@1.14.1 και axios@0.30.4 τροποποιήθηκαν ώστε να περιλαμβάνουν ένα κακόβουλο πρόσθετο πακέτο, το plain-crypto-js@4.2.1, το οποίο εκτελούνταν αυτόματα κατά την εγκατάσταση, χωρίς ο χρήστης να χρειαστεί να κάνει κάτι επιπλέον. Η επίθεση εντοπίστηκε από την εταιρεία κυβερνοασφάλειας Socket, ενώ και η OX Security εξέδωσε προειδοποίηση για τους κινδύνους που συνεπάγεται.
Τι μπορούν να κλέψουν οι επιτιθέμενοι
Σύμφωνα με την OX Security, ο κακόβουλος κώδικας μπορεί να δώσει στους επιτιθέμενους απομακρυσμένη πρόσβαση στα μολυσμένα συστήματα. Αυτό σημαίνει ότι μπορούν να υποκλέψουν κωδικούς πρόσβασης, κλειδιά API — δηλαδή τα «διαπιστευτήρια» που χρησιμοποιούν οι εφαρμογές για να επικοινωνούν μεταξύ τους — καθώς και πληροφορίες από ψηφιακά πορτοφόλια κρυπτονομισμάτων.
Το ιδιαίτερα ανησυχητικό στοιχείο αυτής της επίθεσης είναι ο τρόπος που λειτουργεί: δεν απαιτεί καμία ενέργεια από τον χρήστη πέρα από την εγκατάσταση του πακέτου. Μόλις ο προγραμματιστής εγκαταστήσει τη μολυσμένη έκδοση, ο κακόβουλος κώδικας τρέχει αυτόματα στο παρασκήνιο.
Τι πρέπει να κάνουν όσοι επηρεάστηκαν
Η OX Security συστήνει σε όσους έχουν εγκαταστήσει τις συγκεκριμένες εκδόσεις να θεωρήσουν τα συστήματά τους ως πλήρως παραβιασμένα και να προχωρήσουν άμεσα σε αντικατάσταση όλων των κωδικών και κλειδιών πρόσβασης. Η Socket από την πλευρά της συμβουλεύει τους προγραμματιστές να ελέγξουν τα αρχεία εξαρτήσεων των έργων τους και να αφαιρέσουν ή να επαναφέρουν σε παλαιότερη έκδοση οποιοδήποτε από τα επηρεαζόμενα πακέτα.
Οι δύο κακόβουλες εκδόσεις έχουν ήδη αφαιρεθεί από το npm, το κεντρικό αποθετήριο από όπου οι προγραμματιστές κατεβάζουν τέτοια εργαλεία. Ωστόσο, όσοι τις είχαν ήδη εγκαταστήσει παραμένουν εκτεθειμένοι.
Δεν είναι η πρώτη φορά
Το περιστατικό δεν είναι μεμονωμένο. Παρόμοιες επιθέσεις σε αλυσίδες εφοδιασμού λογισμικού έχουν οδηγήσει στο παρελθόν σε σημαντικές απώλειες για χρήστες κρυπτονομισμάτων. Τον Ιανουάριο, ο ερευνητής ZachXBT ανέφερε ότι εκατοντάδες ψηφιακά πορτοφόλια σε δίκτυα συμβατά με το Ethereum αδειάστηκαν σε μια συντονισμένη επίθεση. Ένα παρόμοιο περιστατικό τον Δεκέμβριο είχε πλήξει το Trust Wallet, με απώλειες που εκτιμήθηκαν σε περίπου 7 εκατομμύρια δολάρια σε πάνω από 2.500 πορτοφόλια — και αυτό πιθανώς μέσω παραβίασης πακέτων npm στη διαδικασία ανάπτυξης της πλατφόρμας.
Αυτές οι επιθέσεις δείχνουν ότι ο κίνδυνος δεν αφορά μόνο τους προγραμματιστές. Όταν μια βιβλιοθήκη που χρησιμοποιείται σε χιλιάδες εφαρμογές παραβιαστεί, οι συνέπειες μπορούν να φτάσουν μέχρι τον τελικό χρήστη που απλώς συνδέεται σε μια υπηρεσία ή διαχειρίζεται τα κρυπτονομίσματά του.
