Hardware pul kisəsi təminatçısı Ledger-in baş texnologiya direktoru Charles Guillemet, Node.js ekosistemini təsir edən inkişaf edən təchizat zənciri hücumu barədə açıq xəbərdarlıq yayıb. Guillemetin sosial media platforması X-də paylaşdığı məlumata görə, hücum edənlər nüfuzlu bir inkişaf etdiricinin NPM (Node Package Manager) hesabına daxil olaraq geniş istifadə olunan JavaScript paketlərinə zərərli kod yeridiblər. Pozulmuş paketlər ümumilikdə 1 milyarddan çox yüklənmə toplayıb ki, bu da kriptovalyuta sektorundakı inkişaf etdiricilər və son istifadəçilər üçün ciddi təhlükə yaradır.
Zərərli yük, təsirlənmiş kitabxanalarda əməliyyat məlumatlarını ələ keçirmək və dəyişdirmək üçün nəzərdə tutulub, səssizcə nəzərdə tutulmuş pul kisəsi ünvanını hücumçunun ünvanı ilə əvəz edir. Belə dəyişikliklər ciddi zəncir ünvan doğrulaması həyata keçirməyən tətbiqlərdən gizlidir. Nəticədə, pozulmuş paketlərə əsaslanan mərkəzləşdirilməmiş tətbiqlər və ağıllı müqavilələr vasitəsilə göndərilən vəsaitlər icazəsiz hesablara yönləndirilə bilər və istifadəçilər üçün əhəmiyyətli maliyyə itkilərinə səbəb ola bilər.
Guillemet vurğulayıb ki, bu tip hücuma qarşı yeganə etibarlı müdafiə, təhlükəsiz displeylərə malik və Clear Signing dəstəyi ilə təchiz olunmuş hardware pul kisələrinin istifadəsidir. Təhlükəsiz displeylər istifadəçilərə köçürmə tamamlanmadan əvvəl dəqiq alıcı ünvanı və əməliyyat məbləğini yoxlamağa imkan verir. Bu səviyyədə təsdiq olmadan, alt səviyyə pul kisəsi proqramları və ya mərkəzləşdirilməmiş tətbiqlər ünvan dəyişdirmə hücumlarına açıq qalır.
Açıq mənbə proqram təminatının təchizat zəncirləri uzun müddətdir ki, xüsusilə kritik infrastruktur və maliyyə tətbiqlərində potensial kompromis nöqtələri kimi qəbul edilir. NPM-ə edilən hücum müasir inkişaf iş axınlarının bir-birinə bağlı olduğunu göstərir; tək bir hesabın pozulması geniş miqyasda kodun yoluxmasına səbəb ola bilər. Təhlükəsizlik mütəxəssisləri yüksək riskli paketlərin qorunması üçün çoxfaktorlu identifikasiya, daimi təhlükəsizlik yoxlamaları və avtomatlaşdırılmış bütövlük nəzarətlərinin geniş əhatəli möhkəmləndirmə strategiyasının bir hissəsi kimi həyata keçirilməsini tövsiyə edirlər.
Ledger hələlik zərərli kodun yayılmasını sürətləndirməmək üçün konkret paketləri və inkişaf etdiriciləri müəyyən etməyib. Guillemet inkişaf etdiricilərə asılılıqlarını yoxlamağı, şəbəkə sorğularını anormal ünvan dəyişdirmə fəaliyyətləri üçün izləməyi və paket bütövlüyünü yoxlamaq üçün kriptoqrafik vasitələrdən istifadə etməyi tövsiyə edib. O, həmçinin geniş açıq mənbə icması və müəssisə istifadəçilərindən pozulmuş modulları tapmaq və təmir etmək üçün əməkdaşlıq etmələrini çağırıb.
Bu hadisə, məşhur ekosistemlərdə trüjanlaşdırılmış asılılıqlar kimi bir sıra yüksək profilli təchizat zənciri hücumlarını izləyir. Hücum, təhlükəsizlik tədbirlərinin yalnız tətbiqlərə birbaşa hücumlardan ibarət olmamalı, bütün inkişaf boru kəmərini əhatə etməli olduğunu xatırladır. Təşkilatlar gələcək risklərin qarşısını almaq üçün asılılıqların ağ siyahıya alınması, davamlı monitorinq və hadisələrə cavab planlaması daxil olmaqla ciddi təhlükəsizlik nəzarətlərindən istifadə etməyə təşviq olunur.
Məlumatı təqdim edən: Margaux Nijkerk; Redaktə edən: Nikhilesh De.
Şərhlər (0)