Charles Guillemet, a hardveres tárcákat kínáló Ledger műszaki igazgatója nyilvános figyelmeztetést adott ki egy kibontakozó ellátási lánc támadásról, amely a Node.js ökoszisztémát érinti. Guillemet a X közösségi média platformon megosztott posztja szerint a támadók hozzáférést szereztek egy megbízható fejlesztő NPM (Node Package Manager) fiókjához, és rosszindulatú kódot fecskendeztek be széles körben használt JavaScript csomagokba. Az érintett csomagokat összesen több mint 1 milliárd letöltés jellemzi, ami potenciálisan súlyos fenyegetést jelent a kriptovaluta szektor fejlesztői és végfelhasználói számára.
A rosszindulatú kód célja, hogy elfogja és módosítsa a tranzakciós adatokat az érintett könyvtárakban, csendesen helyettesítve a tervezett tárcacímeket a támadó címeivel. Az ilyen módosítások láthatatlanok maradnak azoknak az alkalmazásoknak, amelyek nem valósítanak meg szigorú láncon belüli címellenőrzést. Ennek eredményeként az érintett csomagokat használó decentralizált alkalmazásokon vagy okosszerződéseken keresztül küldött pénzeszközök jogosulatlan számlákra irányulhatnak át, ami jelentős anyagi veszteségekhez vezethet a felhasználók számára.
Guillemet hangsúlyozta, hogy az egyetlen megbízható védelem ezen támadástípus ellen a hardveres tárcák használata, amelyek biztonságos kijelzővel és Clear Signing támogatással rendelkeznek. A biztonságos kijelzők lehetővé teszik a felhasználók számára, hogy az átutalás véglegesítése előtt ellenőrizzék a pontos fogadó címet és a tranzakció összegét. Ezen ellenőrzési szint hiányában a tárcaszoftverek vagy decentralizált alkalmazások továbbra is sebezhetőek maradnak a címcsere-támadásokkal szemben.
Az open-source szoftverek ellátási láncait régóta potenciális sebezhetőségi pontokként azonosítják, különösen kritikus infrastruktúrákban és pénzügyi alkalmazásokban. Az NPM elleni támadás rámutat a modern fejlesztési munkafolyamatok összekapcsolt természetére, ahol egyetlen fiók kompromittálása széles körű kódfertőzést okozhat. A biztonsági szakértők felszólítják a magas kockázatú csomagok fenntartóit, hogy alkalmazzanak többfaktoros hitelesítést, rendszeres biztonsági áttekintéseket és automatikus integritás-ellenőrzéseket átfogó megerősítési stratégia részeként.
A Ledger még nem azonosította az érintett csomagokat vagy fejlesztőket, hogy elkerülje a rosszindulatú kód terjedésének felgyorsítását. Guillemet arra biztatta a fejlesztőket, hogy auditálják függőségeiket, figyeljék a hálózati kéréseket a szokatlan címcsere-tevékenységek miatt, és kriptográfiai eszközökkel ellenőrizzék a csomagok integritását. Emellett felszólította a szélesebb nyílt forráskódú közösséget és az üzleti felhasználókat, hogy működjenek együtt a kompromittált modulok felderítésében és helyreállításában.
Ez az eset a szoftverfejlesztésben tapasztalható, magas szintű ellátási lánc támadások sorát követi, beleértve a népszerű ökoszisztémákban előforduló trójai függőségeket is. A támadás emlékeztet arra, hogy a biztonsági intézkedéseknek túl kell mutatniuk az alkalmazások közvetlen támadásain, és ki kell terjedniük az egész fejlesztési folyamatra. A szervezeteket arra biztatják, hogy alkalmazzanak szigorú biztonsági ellenőrzéseket, beleértve a függőség-fehérlistázást, folyamatos megfigyelést és incidenskezelési tervezést a jövőbeni kockázatok mérséklése érdekében.
Riport: Margaux Nijkerk; szerkesztette: Nikhilesh De.
Hozzászólások (0)