Charles Guillemet, tæknistjóri hjá vélbúnaðarveskjasöluaðilanum Ledger, gaf út opinbera viðvörun um núverandi birgðakeðjuárás sem hefur áhrif á Node.js vistkerfið. Samkvæmt færslu Guillemet á samfélagsmiðlinum X fengu árásarmenn aðgang að NPM (Node Package Manager) reikningi trausts forritara og sprautuðu illgjarnan kóða í mikið notuð JavaScript pakkann. Þessir spilltu pakkar hafa samanlagt safnað yfir 1 milljarði niðurhala, sem bendir til hugsanlegrar alvarlegrar ógnar fyrir forritara og endanotendur í rafmyntageiranum.
Illgjarn hlaðinn gagnapakkinn er hannaður til að skjóta inn og breyta viðskiptagögnum innan áhrifa bókasafna, þar sem hann skipti hljóðlaust út ætluðu veskiðsvöndinni fyrir heimilisfang árásarmannsins. Slíkar breytingar eru ósýnilegar fyrir forrit sem innleiða ekki strangar staðfestingar á keðjuheimilisföngum. Afleiðingin er að fjármagn sem sent er í gegn um dreifð forrit eða snjall samninga sem treysta á spilltu pakkana gæti verið vísað til óheimilla reikninga, sem leiðir til verulegs fjárhagslegs taps fyrir notendur.
Guillemet lagði áherslu á að eina áreiðanlega vörnin gegn þessari tegund árása sé notkun vélbúnaðarveskja með öruggum skjám og stuðningi við Clear Signing. Öruggar skjár leyfa notendum að staðfesta nákvæmt viðtakandaheimilisfang og viðskiptaupphæð áður en flutningur er staðfestur. Án þessa staðfestingarstigs eru veska- og dreifðu forritin enn viðkvæm fyrir heimilisfangsskiptiárásum.
Opinn hugbúnaðarbirgðakeðjur hafa lengi verið þekktar sem hugsanleg veikleikasvæði, sérstaklega í mikilvægu innviðum og fjármálaforritum. Árásin á NPM undirstrikar samtengt eðli nútíma þróunarferla, þar sem brot á einum reikningi getur leitt til víðtækrar mengunar á kóða. Öryggissérfræðingar hvetja viðhaldsaðila áhættusamra pakka til að innleiða margþátta auðkenningu, reglulegt öryggisúttekt og sjálfvirkar heilleikakannanir sem hluta af heildstæðri styrkingarstefnu.
Ledger hefur enn ekki greint tilteknu pakkana né forritarana sem tengjast til að forðast að hraða útbreiðslu illgjarns kóða. Guillemet ráðlagði forriturum að endurskoða eigin háðleika, fylgjast með netbeiðnum fyrir óeðlilega heimilisfangsskiptihegðun og nota dulritunerfærslutól til að staðfæra heilleika pakka. Hann óskar einnig eftir samvinnu víðtæks opnu safnaðar- og fyrirtækjanotenda við að rekja og laga spilltu einingarnar.
Þessi atvik fylgir röð stórra birgðakeðjuárása í hugbúnaðarþróun, þar á meðal Trojan í vinsælum vistkerfum. Árásin er áminning um að öryggisráðstafanir verða að ná lengra en til beinna árása á forrit til að taka til alls þróunarferlisins. Fyrirtækjum er hvatt til að beita ströngum öryggisstjórnun, þar með talið hvítlista háðleika, stöðugri eftirliti og áætlun um viðbrögð við atvikum til að draga úr framtíðarhættum.
Fréttaflutningur: Margaux Nijkerk; Ritstýrt af Nikhilesh De.
Athugasemdir (0)