• 發布單位:TWCERT/CC
• 更新日期:2022-09-27
• 點閱次數:156

資安廠商 Mend 旗下的資安專家，日前發現由許多加密貨幣交易所採用的部分 npm 軟體套件，近日遭駭侵者植入可用於資訊竊取的惡意程式碼。

這些遭植入惡意程式碼的 npm 套件，經查係由 dYdX 交易所的員工所上傳；dYdX 是一個架構在以太坊區塊鏈上的去中心化加密貨幣交易所（Decentralized Exchange, DEX），提供包括比特幣與以太幣等 35 種以上熱門加密貨幣的永續合約交易，每日交易量超過 10 億美元。

資安專家指出，目前確定含有惡意程式碼的 npm 軟體套件有 @dydxprotocol/solo 0.41.1、0.41.2 和 @dydxprotocol/perpetual 1.2.2、1.2.3 等。另外稍早時候證實亦遭植入惡意軟體的 @didxprotocol/node-server-base-dev，目前則已下架。

資安專家指出，在 Github 中至少有 44 個專案使用了 @dydxprotocol/solo 套件，而這些專案則分屬多個加密貨幣交易平台所有。因此可以想見有多家加密貨幣交易平台，可能使用了這些內含惡意軟體的程式碼套件來進行開發。

分析指出，植入的惡意程式碼，一旦安裝到受害電腦上，即會自受害者在 Amazon AWS instance 上竊取 IAM 登入資訊，以及用戶在 Github 上的 token、SSH key、環境變數與對外 IP 等資訊。

dYdX 在收到其上傳程式碼內含惡意軟體的通報後，對外表示已立即自 npm 中移除多個程式套件，並表示該平台的網站、App 均未遭到攻擊，該平台資金安全無虞，且該惡意軟體不會攻擊其智慧合約。

由於這類在公開的開源程式套件庫中植入惡意軟體的供應鏈攻擊案件，近來發生次數日益增加，因此程式開發者在採用這類程式庫時，務必提高警覺，並做好對應防範措施，以免遭到攻擊。