Charles Guillemet, chief technology officer ing panyedhiya dompet hardware Ledger, maringi peringatan umum babagan serangan rantai pasokan sing lagi kedadeyan sing mengaruhi ekosistem Node.js. Miturut postingan Guillemet ing platform media sosial X, para penyerang entuk akses menyang akun NPM (Node Package Manager) pangembang sing terkenal lan nyuntik kode jahat menyang paket JavaScript sing akeh digunakake. Paket sing kena pengaruh iki wis nglumpukake luwih saka 1 milyar unduhan, nuduhake ancaman sing bisa dadi serius kanggo pangembang lan pangguna pungkasan ing sektor cryptocurrency.
Payload jahat dirancang kanggo nyegat lan ngganti data transaksi ing perpustakaan sing kena pengaruh, kanthi tenang ngganti alamat dompet sing dimaksud karo alamat penyerang. Owah-owahan iki tetep ora katon dening aplikasi sing ora ngetrapake verifikasi alamat on-chain sing ketat. Akibate, dana sing dikirim liwat aplikasi desentralisasi utawa kontrak pinter sing gumantung saka paket sing kena pengaruh bisa dialihaké menyang akun sing ora sah, nyebabake kerugian finansial sing gedhe kanggo pangguna.
Guillemet negesake yen siji-sijine pertahanan sing bisa dipercaya marang jinis serangan iki yaiku nggunakake dompet hardware sing dilengkapi tampilan aman lan ndhukung Clear Signing. Tampilan aman ngidini pangguna verifikasi alamat panampa lan jumlah transaksi kanthi tepat sadurunge ngrampungake transfer. Tanpa tingkat validasi iki, piranti lunak dompet downstream utawa aplikasi desentralisasi tetep rentan marang serangan pertukaran alamat.
Rantai pasokan piranti lunak sumber terbuka wis suwe diakoni minangka titik kompromi potensial, utamane ing infrastruktur kritis lan aplikasi finansial. Serangan marang NPM negesake sifat keterkaitan proses pangembangan modern, ing endi pelanggaran ing siji akun bisa nyebabake kontaminasi kode sing nyebar. Para ahli keamanan nganjurake para pengelola paket risiko dhuwur kanggo ngetrapake autentikasi multi-faktor, review keamanan rutin lan pemeriksaan integritas otomatis minangka bagian saka strategi penguatan komprehensif.
Ledger durung nemtokake paket utawa pangembang sing spesifik supaya ora mempercepat panyebaran kode jahat. Guillemet menehi saran marang para pangembang kanggo mriksa ketergantungan, ngawasi permintaan jaringan kanggo aktivitas pertukaran alamat sing aneh, lan nggunakake piranti kriptografi kanggo verifikasi integritas paket. Dheweke uga ngajak komunitas sumber terbuka lan pangguna perusahaan luwih jembar kanggo kerja sama nglacak lan ngatasi modul sing kena pengaruh.
Insiden iki nyusul serangkaian serangan rantai pasokan profil dhuwur ing pangembangan piranti lunak, kalebu ketergantungan trojanized ing ekosistem popüler. Serangan iki dadi pangeling yen langkah keamanan kudu ngluwihi serangan langsung ing aplikasi nganti kalebu kabeh jalur pangembangan. Organisasi dianjurake nggunakake kontrol keamanan ketat, kalebu whitelisting ketergantungan, pemantauan terus-terusan, lan perencanaan tanggapan insiden kanggo ngurangi risiko ing mangsa ngarep.
Pelaporan dening Margaux Nijkerk; Suntingan dening Nikhilesh De.
Komentar (0)