Charles Guillemet, ketua pegawai teknologi di penyedia dompet perkakasan Ledger, mengeluarkan amaran awam mengenai serangan rantai bekalan yang sedang berlaku yang menjejaskan ekosistem Node.js. Menurut pos Guillemet di platform media sosial X, penyerang memperoleh akses ke akaun NPM (Node Package Manager) pembangun yang dihormati dan menyuntik kod berniat jahat ke dalam pakej JavaScript yang digunakan secara meluas. Pakej yang terjejas telah mengumpulkan lebih daripada 1 bilion muat turun secara kolektif, menunjukkan ancaman yang berpotensi serius kepada pembangun dan pengguna akhir dalam sektor kripto.
Payload berniat jahat ini direka untuk mencegat dan mengubah data transaksi dalam perpustakaan yang terjejas, dengan senyap menggantikan alamat dompet yang dimaksudkan dengan alamat penyerang. Pengubahsuaian sedemikian kekal tidak kelihatan kepada aplikasi yang tidak melaksanakan pengesahan alamat on-chain yang ketat. Akibatnya, dana yang dihantar melalui aplikasi terdesentralisasi atau kontrak pintar yang bergantung pada pakej yang terjejas boleh dialihkan ke akaun yang tidak dibenarkan, menyebabkan kerugian kewangan yang ketara kepada pengguna.
Guillemet menegaskan bahawa satu-satunya pertahanan yang boleh dipercayai terhadap jenis serangan ini adalah penggunaan dompet perkakasan yang dilengkapi dengan paparan selamat dan sokongan untuk Clear Signing. Paparan selamat membenarkan pengguna mengesahkan alamat penerima dan jumlah transaksi dengan tepat sebelum memuktamadkan pemindahan. Tanpa tahap pengesahan ini, perisian dompet aliran bawah atau aplikasi terdesentralisasi kekal terdedah kepada serangan pertukaran alamat.
Rantai bekalan perisian sumber terbuka telah lama diiktiraf sebagai titik kompromi yang berpotensi, terutamanya dalam infrastruktur kritikal dan aplikasi kewangan. Serangan ke atas NPM menekankan sifat saling kaitan aliran kerja pembangunan moden, di mana pelanggaran dalam satu akaun boleh menyebabkan pencemaran kod yang meluas. Pakar keselamatan menyeru pemegang pakej berisiko tinggi untuk melaksanakan pengesahan faktor pelbagai, semakan keselamatan berkala dan pemeriksaan integriti automatik sebagai sebahagian daripada strategi pengukuhan menyeluruh.
Ledger belum mengenal pasti pakej atau pembangun tertentu untuk mengelakkan penyebaran kod berniat jahat dengan cepat. Guillemet menasihatkan pembangun supaya mengaudit pergantungan mereka, memantau permintaan rangkaian untuk aktiviti pertukaran alamat yang luar biasa dan menggunakan alat kriptografi untuk mengesahkan integriti pakej. Beliau juga menyeru komuniti sumber terbuka yang lebih luas dan pengguna perusahaan untuk bekerjasama dalam mengesan dan memperbaiki modul yang terjejas.
Insiden ini mengikuti siri serangan rantai bekalan berprofil tinggi dalam pembangunan perisian, termasuk pergantungan trojan dalam ekosistem popular. Serangan ini sebagai peringatan bahawa langkah keselamatan mesti melangkaui serangan langsung ke atas aplikasi untuk merangkumi keseluruhan saluran pembangunan. Organisasi digalakkan menggunakan kawalan keselamatan yang ketat, termasuk penyenaraian putih pergantungan, pemantauan berterusan dan perancangan tindak balas insiden untuk mengurangkan risiko masa depan.
Laporan oleh Margaux Nijkerk; Disunting oleh Nikhilesh De.
Komen (0)