Charles Guillemet, chief technology officer di penyedia dompet perangkat keras Ledger, mengeluarkan peringatan publik tentang serangan rantai pasokan yang sedang berlangsung yang mempengaruhi ekosistem Node.js. Menurut postingan Guillemet di platform media sosial X, penyerang berhasil mengakses akun NPM (Node Package Manager) dari pengembang ternama dan menyisipkan kode berbahaya ke dalam paket JavaScript yang banyak digunakan. Paket yang dikompromikan tersebut telah diunduh lebih dari 1 miliar kali secara kolektif, menunjukkan ancaman yang berpotensi serius bagi pengembang dan pengguna akhir di sektor cryptocurrency.
Payload berbahaya dirancang untuk menyadap dan mengubah data transaksi dalam perpustakaan yang terdampak, diam-diam menggantikan alamat dompet yang dituju dengan alamat penyerang. Modifikasi semacam ini tidak terlihat oleh aplikasi yang tidak menerapkan verifikasi alamat on-chain yang ketat. Akibatnya, dana yang dikirim melalui aplikasi terdesentralisasi atau kontrak pintar yang bergantung pada paket yang dikompromikan dapat dialihkan ke akun yang tidak sah, menyebabkan kerugian finansial signifikan bagi pengguna.
Guillemet menekankan bahwa satu-satunya pertahanan yang dapat diandalkan terhadap jenis serangan ini adalah penggunaan dompet perangkat keras yang dilengkapi dengan layar aman dan dukungan untuk Clear Signing. Layar aman memungkinkan pengguna untuk memverifikasi alamat penerima dan jumlah transaksi secara tepat sebelum menyelesaikan transfer. Tanpa tingkat validasi ini, perangkat lunak dompet atau aplikasi terdesentralisasi selanjutnya tetap rentan terhadap serangan pertukaran alamat.
Rantai pasokan perangkat lunak sumber terbuka sejak lama telah diakui sebagai titik kompromi potensial, khususnya dalam infrastruktur kritis dan aplikasi keuangan. Serangan pada NPM menegaskan sifat saling terkait dari alur kerja pengembangan modern, di mana pelanggaran pada satu akun dapat menyebabkan kontaminasi kode yang meluas. Para ahli keamanan mendorong para pemelihara paket berisiko tinggi untuk menerapkan autentikasi multi-faktor, tinjauan keamanan rutin, dan pemeriksaan integritas otomatis sebagai bagian dari strategi penguatan menyeluruh.
Ledger belum mengidentifikasi paket tertentu atau pengembang yang terlibat untuk menghindari percepatan penyebaran kode berbahaya. Guillemet menyarankan para pengembang untuk mengaudit ketergantungan mereka, memantau permintaan jaringan untuk aktivitas pertukaran alamat yang tidak biasa, dan menggunakan alat kriptografi untuk memverifikasi integritas paket. Ia juga menyerukan komunitas sumber terbuka yang lebih luas dan pengguna perusahaan untuk bekerja sama dalam melacak dan memperbaiki modul yang dikompromikan.
Insiden ini mengikuti serangkaian serangan rantai pasokan profil tinggi dalam pengembangan perangkat lunak, termasuk ketergantungan trojanized di ekosistem populer. Serangan ini mengingatkan bahwa langkah-langkah keamanan harus melampaui serangan langsung pada aplikasi untuk mencakup seluruh alur pengembangan. Organisasi didorong untuk menerapkan kontrol keamanan yang ketat, termasuk daftar putih ketergantungan, pemantauan berkelanjutan, dan perencanaan respons insiden guna mengurangi risiko di masa depan.
Pelaporan oleh Margaux Nijkerk; Disunting oleh Nikhilesh De.
Komentar (0)