Charles Guillemet, technický ředitel poskytovatele hardwarových peněženek Ledger, vydal veřejné varování ohledně probíhajícího útoku na dodavatelský řetězec, který postihuje ekosystém Node.js. Podle Guillemetova příspěvku na sociální platformě X získali útočníci přístup k účtu renomovaného vývojáře na NPM (Node Package Manager) a injektovali škodlivý kód do široce používaných JavaScriptových balíčků. Kompromitované balíčky dohromady nasbíraly více než 1 miliardu stažení, což naznačuje potenciálně vážnou hrozbu pro vývojáře a koncové uživatele v kryptoměnovém sektoru.
Škodlivý kód je navržen tak, aby zachytával a měnil data transakcí v postižených knihovnách, tiše nahrazoval původní adresu peněženky adresou útočníka. Takové změny zůstávají neviditelné pro aplikace, které neprovádějí přísnou on-chain verifikaci adres. Výsledkem může být, že prostředky odeslané prostřednictvím decentralizovaných aplikací nebo chytrých kontraktů závislých na kompromitovaných balíčcích budou přesměrovány na neoprávněné účty, což povede k významným finančním ztrátám pro uživatele.
Guillemet zdůraznil, že jedinou spolehlivou obranou proti tomuto typu útoku je použití hardwarových peněženek vybavených bezpečnými displeji a podporou Clear Signing. Bezpečné displeje umožňují uživatelům ověřit přesnou adresu příjemce a částku transakce před dokončením převodu. Bez této úrovně ověření zůstávají dolů proudící softwarové peněženky nebo decentralizované aplikace zranitelné vůči útokům na výměnu adres.
Dodavatelské řetězce open-source softwaru jsou již dlouho považovány za potenciální body kompromitace, zejména v kritické infrastruktuře a finančních aplikacích. Útok na NPM zdůrazňuje provázanou povahu moderních vývojových workflowů, kde může průnik do jediného účtu způsobit široké rozšíření kontaminace kódu. Bezpečnostní experti vyzývají udržovatele vysoce rizikových balíčků, aby implementovali vícefaktorové ověřování, pravidelné bezpečnostní kontroly a automatizované integritní kontroly jako součást komplexní strategie posílení bezpečnosti.
Ledger dosud neidentifikoval konkrétní balíčky ani zapojené vývojáře, aby nezrychlil šíření škodlivého kódu. Guillemet doporučil vývojářům prověřit své závislosti, sledovat síťové požadavky kvůli abnormální aktivitě výměny adres a používat kryptografické nástroje k ověření integrity balíčků. Také vyzval širší komunitu open-source a podnikové uživatele ke spolupráci při sledování a odstraňování kompromitovaných modulů.
Tento incident navazuje na sérii vysoce medializovaných útoků na dodavatelské řetězce ve vývoji softwaru, včetně trojských závislostí v populárních ekosystémech. Útok připomíná, že bezpečnostní opatření musí přesahovat přímé útoky na aplikace a zahrnovat celý vývojový pipeline. Organizace jsou vyzývány, aby uplatňovaly přísnou kontrolu bezpečnosti, včetně whitelistingu závislostí, kontinuálního monitoringu a plánování reakce na incidenty, aby zmírnily budoucí rizika.
Zpráva: Margaux Nijkerk; editace: Nikhilesh De.
Komentáře (0)