צ'ארלס גיומייה, סמנכ"ל הטכנולוגיות בחברת הארנק החומרה Ledger, פרסם אזהרה ציבורית לגבי מתקפת שרשרת אספקה מתפתחת הפוגעת באקוסיסטם של Node.js. לפי הפוסט של גיומייה בפלטפורמת המדיה החברתית X, תוקפים הצליחו לגשת לחשבון NPM (מנהל החבילות של Node) של מפתח מוכר והחדירו קוד זדוני לחבילות JavaScript נפוצות. החבילות המותקפות צברו יחדיו מעל למיליארד הורדות, מה שמצביע על איום חמור פוטנציאלי למפתחים ולמשתמשי הקצה בתחום המטבעות הקריפטוגרפיים.
הpayload הזדוני מתוכנן ליירט ולשנות נתוני עסקאות בתוך הספריות הפגועות, כשהוא מחליף בשקט את כתובת הארנק המקורית בכתובת של התוקף. שינויים כאלה אינם נראים לאפליקציות שאינן מעמידות אימות מחמיר של כתובות ברשת הבלוקצ'יין. כתוצאה מכך, כספים שנשלחים באמצעות אפליקציות מבוזרות או חוזים חכמים התלויים בחבילות המותקפות עלולים להיות מנותבים לחשבונות לא מורשים, מה שעלול לגרום להפסדים כספיים משמעותיים למשתמשים.
גיומייה הדגיש שההגנה היחידה האמינה נגד סוג מתקפה זה היא השימוש בארנקים חומרתיים המצוידים בתצוגות בטוחות ותומכים ב-Clear Signing. תצוגות בטוחות מאפשרות למשתמשים לאמת את כתובת הנמען המדויקת ואת סכום העסקה לפני סיום ההעברה. ללא רמת אימות זו, תוכנת ארנק או אפליקציות מבוזרות שמבוססות על החבילות הפגועות נשארות פגיעות למתקפות החלפת כתובות.
שרשראות אספקת תוכנה בקוד פתוח נתפסו מזה זמן כנקודות פגיעות אפשריות, במיוחד בתשתיות קריטיות וביישומים פיננסיים. המתקפה על NPM מדגישה את האופי המחובר של זרמי העבודה המודרניים בפיתוח, שבו פריצה לחשבון אחד יכולה להוביל לזיהום נרחב של קוד. מומחי אבטחה קוראים למנהלי חבילות בסיכון גבוה ליישם אימות רב-שלבי, סקירות אבטחה תקופתיות ובדיקות שלמות אוטומטיות כחלק מאסטרטגיית חיזוק מקיפה.
חברת Ledger עדיין לא זיהתה את החבילות או המפתחים המעורבים כדי למנוע את הפצת הקוד הזדוני. גיומייה המליץ למפתחים לבצע ביקורות על התלויות שלהם, לנטר בקשות רשת לפעילות חריגה של החלפת כתובות ולהשתמש בכלים קריפטוגרפיים לאימות שלמות החבילות. הוא גם קרא לקהילה רחבה של קוד פתוח ולמשתמשים ארגוניים לשתף פעולה במעקב ותיקון המודולים המותקפים.
אירוע זה מצטרף לסדרת מתקפות שרשרת אספקה בולטות בפיתוח תוכנה, כולל תלויות טרויאניות באקוסיסטמות פופולריות. המתקפה משמשת תזכורת לכך שלצעדי אבטחה יש להרחיב מעבר למתקפות ישירות על אפליקציות ולכלול את כל צינור הפיתוח. ארגונים מוזמנים לאמץ שליטה אבטחתית קפדנית, כולל סינון תלויות, ניטור רצוף ותכנון תגובות לאירועים כדי להפחית סיכונים עתידיים.
דיווח: מרגו נייג'קרק; עריכה: ניקילש דה.
תגובות (0)