Charles Guillemet, riistvaralompakute pakkuja Ledger tehnoloogiajuht, avaldas avaliku hoiatuse Node.js ökosüsteemi mõjutava tarneahela rünnaku kohta. Guillemeti postituse kohaselt sotsiaalmeediaplatvormil X said ründajad ligi maineka arendaja NPM (Node Package Manager) kontole ja süstisid pahatahtlikku koodi laialdaselt kasutatavatesse JavaScripti pakettidesse. Ohustatud paketid on kokku kogunud üle 1 miljardi allalaadimise, mis viitab potentsiaalselt tõsisele ohule krüptovaluuta sektori arendajatele ja lõppkasutajatele.
Pahatahtlik koormus on loodud selleks, et tabada ja muuta tehinguandmeid mõjutatud teekides, vaikselt asendades algse rahakoti aadressi ründaja aadressiga. Sellised muudatused jäävad rakendustele nähtamatuks, kui need ei kasuta ranget ketiaadressi kontrolli. Selle tulemusena võivad detsentraliseeritud rakenduste või nutilepingute kaudu saadetud vahendid, mis sõltuvad kompromiteeritud pakettidest, suunata volitamata kontodele, põhjustades kasutajatele märkimisväärseid rahalisi kaotusi.
Guillemet rõhutas, et ainus usaldusväärne kaitse selle tüüpi rünnaku vastu on riistvaralompakute kasutamine, mis on varustatud turvaliste ekraanidega ja toetavad Clear Signingut. Turvalised ekraanid võimaldavad kasutajatel enne tehingu kinnitamist kontrollida täpset saaja aadressi ja summat. Ilma selle tasemeta valideerimiseta jäävad alluvad rahakotitarkvara või detsentraliseeritud rakendused haavatavaks aadressivahetusrünnakutele.
Avatud lähtekoodiga tarkvara tarneahelad on juba kaua olnud potentsiaalsete kompromissi punktideks, eriti kriitilises infrastruktuuris ja finantsrakendustes. NPM-i rünnak rõhutab tänapäevaste arendusprotsesside omavahelist seotust, kus ühe konto rikkumine võib viia laiaulatusliku koodisaastumiseni. Turvaeksperdid kutsuvad kõrge riskiastmega pakettide hooldajaid üles rakendama mitmefaktorilist autentimist, regulaarseid turvakontrolle ja automatiseeritud terviklikkuse auditeid kui osa terviklikust tugevdamisstrateegiast.
Ledger ei ole veel avaldanud konkreetseid pakette ega arendajaid, et vältida pahatahtliku koodi leviku kiirenemist. Guillemet soovitas arendajatel auditeerida oma sõltuvusi, jälgida võrgupäringuid ebatavalise aadressivahetustegevuse jaoks ja kasutada krüptograafilisi vahendeid pakettide terviklikkuse kontrollimiseks. Ta kutsus ka laiemat avatud lähtekoodiga kogukonda ja ärikasutajaid koostööd tegema kompromiteeritud moodulite jälgimisel ja likvideerimisel.
See intsident järgneb mitmele suurele tähelepanu pälvinud tarneahela rünnakule tarkvaraarenduses, sealhulgas populaarsete ökosüsteemide troojapõhiste sõltuvuste levikule. Rünnak tuletab meelde, et turvameetmed peavad ulatuma kaugemale otsestest rakenduste rünnakutest ja hõlmama kogu arendusprotsessi. Organisatsioonidele soovitatakse rakendada rangeid turvakontrolle, sealhulgas sõltuvuste valgelistamist, pidevat seiret ja intsidentidele reageerimise planeerimist, et vähendada tulevasi riske.
Reportaaž Margaux Nijkerk; toimetas Nikhilesh De.
Kommentaarid (0)