Ledger аппараттық әмиян провайдері Chief Technology Officer Чарльз Гийемет Node.js экожүйесіне әсер ететін жабдықтау тізбегі шабуылына қатысты ашық ескерту жасады. Гийемет X әлеуметтік желісіндегі жазбасында шабуылдаушылар беделді әзірлеушінің NPM (Node Package Manager) аккаунтына қол жеткізіп, кеңінен қолданылатын JavaScript пакеттеріне зиянды код енгізгенін айтты. Зиян шеккен пакеттердің жүктемелері барлығы 1 миллиардтан астам болып, криптовалюта саласындағы әзірлеушілер мен соңғы қолданушыларға аса қауіпті қауіп төндіруі мүмкін.
Зиянды код әсер еткен кітапханалардағы транзакция деректерін ұстап алып, оларды өзгертуге арналған, мұндай кезде бастапқы әмиян мекенжайы шабуылдаушының мекенжайымен үнсіз ауыстырылады. Мұндай өзгерістер қатал блокчейн мекенжайын тексермейтін қосымшаларға көрінбейді. Нәтижесінде, зиян шеккен пакеттерге тәуелді децентрализденген қосымшалар немесе смарт-келісімшарттар арқылы жіберілген ақшалар рұқсатсыз шоттарға бағытталуы мүмкін, бұл қолданушылар үшін айтарлықтай қаржылық шығындарға әкеп соғады.
Гийемет осындай типтегі шабуылға қарсы сенімді қорғаныс тек қауіпсіз дисплейі бар және Clear Signing қолдауын қамтамасыз ететін аппараттық әмияндарды қолдану екенін атап көрсетті. Қауіпсіз дисплейлер пайдаланушыларға аударымды растау алдында нақты қабылдаушы мекенжайы мен сомасын тексеруге мүмкіндік береді. Осы деңгейдегі тексерусіз төменгі деңгейлі әмиян бағдарламалық қамтамасыз ету немесе децентрализденген қосымшалар мекенжай ауыстыру шабуылдарына осал болып қала береді.
Ашық көзі бар бағдарламалық қамтамасыз ету жабдықтау тізбектері ұзақ уақыт бойы потенциалды осал нүктелер ретінде танылған, әсіресе негізгі инфрақұрылымдар мен қаржы қолданбалары саласында. NPM-ге жасалған шабуыл қазіргі заманғы әзірлеу жұмыс ағымдарының өзара байланысты табиғатын көрсетеді, мұнда бір аккаунттағы бұзылу кең көлемдегі кодтың ластануына әкелуі мүмкін. Қауіпсіздік мамандары жоғары тәуекелді пакеттердің ұстап алушыларына көпфакторлы аутентификация, үнемі қауіпсіздік тексерулері және автоматтандырылған тұтастық бақылаулары сияқты кешенді қорғаныс шараларын қолдануды ұсынады.
Ledger әлі нақты пакеттер мен қатысқан әзірлеушілерді анықтаған жоқ, зиянды кодтың таралуын тездетпеу үшін. Гийемет әзірлеушілерге тәуелділіктерін аудиттен өткізу, желі сұраныстарында аномальды мекенжай ауыстыру әрекеттерін бақылау және пакет тұтастығын криптографиялық құралдар арқылы тексеруді ұсынды. Сондай-ақ, ол кең ашық көзі қоғамдастығы мен кәсіпорын қолданушыларын зиян шеккен модульдерді іздеу және қалпына келтіру жұмыстарында ынтымақтасуға шақырды.
Бұл оқиға бағдарламалық қамтамасыз етуді әзірлеуде жоғары деңгейлі жабдықтау тізбегі шабуылдарының қатарынан кейін келді, оның ішінде танымал экожүйелердегі трояндалған тәуелділіктер бар. Шабуыл қауіпсіздік шаралары тек қосымшаларға тікелей шабуылдармен шектелмей, толық әзірлеу процесін қамтуы тиіс екендігін еске салады. Ұйымдарға тәуелділіктерді ақ тізімге енгізу, үздіксіз мониторинг және оқиғаларға әрекет ету жоспарын пайдалану сияқты қатаң қауіпсіздік шараларын қолдану ұсынылады.
Хабар Шари Марго Нийкерк; Редакция Нихилеш Де.
Пікірлер (0)