Rabhadh faoi ionsaí slabhra soláthair NPM ag cur isteach ar níos mó ná billiúin íoslódálacha CTO Ledger

Rinne Charles Guillemet, príomhfheidhmeannach teicneolaíochta ag soláthraí sparán crua-earraí Ledger, foláireamh phoiblí maidir le ionsaí ar shlabhra soláthair atá ag forbairt a chuireann isteach ar éiceachóras Node.js. Dar le post Guillemet ar an ardán sóisialta X, bhain ionsaitheoirí rochtain amach ar chuntas NPM (Bainisteoir Pacáistí Node) forbróra iontaofa agus chuir siad cód mailíseach isteach i bpacáistí JavaScript atá go forleathan á n-úsáid. Tá na pacáistí atá díobhálach bailithe go comhuaineach níos mó ná 1 billiún íoslódáil, ag léiriú bagairt fhéideartha tromchúiseach do fhorbróirí agus úsáideoirí deiridh sa earnáil cript-airgeadais.

Tá an lasta mailíseach deartha chun sonraí idirbheart a ghabháil agus a athrú laistigh de na leabharlanna atá buailte, ag iarraidh go ciúin an seoladh sparán beartaithe a athsholáthar le seoladh an ionsaí. Fanann na hathruithe seo dofheicthe d’fhóntais nach gcuireann fíorú dian seolta ar an ngnáthbhealach slabhra i bhfeidhm. Mar thoradh air sin, d’fhéadfadh cistí a sheoltar trí fheidhmeanna díláraithe nó conarthaí cliste atá ag brath ar na pacáistí buailte a bheith á dtréigean chuig cuntais neamhdhúiligh, rud a d’fhéadfadh caillteanais mhóra airgeadais a chruthú do na húsáideoirí.

Dhírigh Guillemet go bhfuil an t-aon chosaint iontaofa in aghaidh an chineáil ionsaithe seo ná úsáid a bhaint as sparáin crua-earraí atá feistithe le taispeántais shlán agus tacaíocht do Shíniú Glan. Ceadaíonn taispeántais shlán d’úsáideoirí seiceáil a dhéanamh ar an seoladh faighteora cruinn agus ar an méid idirbhearta sular críochnaítear an t-aistriú. Gan an leibhéal seo fíoraithe, fanann bogearraí sparán thíos na líne nó feidhmeanna díláraithe leochaileach do ionsaithe athraithe seoltaí.

Tá slabhraí soláthair bogearraí foinse oscailte le fada ar aitheantas mar phointí féideartha le haghaidh ionsaithe, go háirithe i mbunstruchtúr ríthábhachtach agus i bhfeidhmchláir airgeadais. Leagann an t-ionsaí ar NPM béim ar nádúr idirnasctha na bpróiseas forbartha nua-aimseartha, áit ar féidir briseadh amháin i gcuntas amháin an chóid a sceitheadh go forleathan. Tá saineolaithe slándála ag moladh do gcoimeádaithe pacáistí ardriosca fíordheimhniú ilfhachtóir, athbhreithnithe slándála rialta agus seiceálacha uathoibrithe ar ionracas a chur i bhfeidhm mar chuid de straitéis chuimsitheach daingeanaithe.

Níor aithin Ledger na pacáistí sonracha nó na forbróirí atá bainteach go fóill chun scaipeadh an chód mailíseach a chur laghdú. Mhol Guillemet do fhorbróirí a spleáchais a iniúchadh, monatóireacht a dhéanamh ar iarratais líonra ar ghníomhaíocht athraithe seoltaí aisteach agus uirlisí criptagrafacha a úsáid chun ionracas pacáistí a fhíorú. Ghlaoigh sé freisin ar phobal foinse oscailte níos leithne agus ar úsáideoirí fiontar comhoibriú chun na modúil buailte a rianú agus a réiteach.

Leanann an eachtra seo sraith ionsaithe ar shlabhraí soláthair ardphróifíle i bhforbairt bogearraí, lena n-áirítear spleáchais trojanaithe in éiceachórais coitianta. Cuireann an t-ionsaí i gcuimhne dúinn go gcaithfidh bearta slándála dul níos faide ná ionsaithe díreacha ar fheidhmeanna chun an tslabhra forbartha iomlán a áireamh. Moltar d’eagraíochtaí rialuithe slándála dian a chur i bhfeidhm, lena n-áirítear liostáil bán spleáchas, monatóireacht leanúnach agus pleanáil freagartha eachtraí chun rioscaí sa todhchaí a mhaolú.

Tuarascáil le Margaux Nijkerk; Eagarthóireacht le Nikhilesh De.