Charles Guillemet, director de tecnologia del proveïdor de carteres fÃsqiues Ledger, va emetre una advertència pública sobre un atac en curs a la cadena de subministrament que afecta l’ecosistema Node.js. Segons la publicació de Guillemet a la plataforma social X, els atacants van accedir al compte NPM (Node Package Manager) d’un desenvolupador de renom i van injectar codi maliciós en paquets JavaScript à mpliament utilitzats. Els paquets compromesos han acumulat col·lectivament més d’1.000 milions de descà rregues, cosa que indica una amenaça potencialment greu per als desenvolupadors i usuaris finals del sector de criptomonedes.
La cà rrega maliciosa està dissenyada per interceptar i alterar dades de transacció dins les biblioteques afectades, reemplaçant silenciosament l’adreça de cartera prevista per l’adreça de l’atacant. Aquestes modificacions resten invisibles per a aplicacions que no implementen una verificació estricta d’adreces on-chain. Com a resultat, els fons enviats a través d’aplicacions descentralitzades o contractes intel·ligents que depenen dels paquets compromesos podrien ser redirigits a comptes no autoritzats, causant pèrdues financeres importants per als usuaris.
Guillemet va emfatitzar que l’única defensa fiable contra aquest tipus d’atacs és l’ús de carteres fÃsiques equipades amb pantalles segures i suport per a Clear Signing. Les pantalles segures permeten als usuaris verificar l’adreça exacta del receptor i l’import de la transacció abans de finalitzar la transferència. Sense aquest nivell de validació, el programari de cartera o les aplicacions descentralitzades a nivell inferior continuen vulnerables als atacs d’intercanvi d’adreces.
Les cadenes de subministrament de programari de codi obert fa temps que es reconeixen com a punts potencials de compromÃs, especialment en infraestructures crÃtiques i aplicacions financeres. L’atac a NPM subratlla la naturalesa interconnectada dels fluxos de treball de desenvolupament moderns, on una violació en un sol compte pot desencadenar una contaminació generalitzada del codi. Els experts en seguretat insten els mantenidors de paquets d’alt risc a implementar l’autenticació multifactor, revisions de seguretat regulars i verificacions automà tiques d’integritat com a part d’una estratègia integral de reforç.
Ledger encara no ha identificat els paquets especÃfics ni els desenvolupadors implicats per evitar accelerar la propagació del codi maliciós. Guillemet va aconsellar als desenvolupadors auditar les seves dependències, supervisar les sol·licituds de xarxa per detectar activitats anòmales d’intercanvi d’adreces i utilitzar eines criptogrà fiques per verificar la integritat dels paquets. També va fer una crida a la comunitat de codi obert més à mplia i als usuaris empresarials perquè col·laborin en el rastreig i la remediació dels mòduls compromesos.
Aquest incident segueix una sèrie d’atacs destacats a la cadena de subministrament en el desenvolupament de programari, inclosos desenvolupaments troianitzats en ecosistemes populars. L’atac serveix de recordatori que les mesures de seguretat han d’anar més enllà dels atacs directes a les aplicacions i han d’incloure tota la cadena de desenvolupament. Se recomana a les organitzacions que apliquin controls estrictes de seguretat, incloent-hi llistes blanques de dependències, monitorització contÃnua i plans de resposta a incidents per mitigar riscos futurs.
Informe de Margaux Nijkerk; Editat per Nikhilesh De.
Comentaris (0)