Charles Guillemet, dyrektor ds. technologii w dostawcy portfeli sprzętowych Ledger, wydał publiczne ostrzeżenie dotyczące rozwijającego się ataku na łańcuch dostaw, który dotyczy ekosystemu Node.js. Według posta Guillemeta na platformie społecznościowej X, atakujący uzyskali dostęp do konta renomowanego dewelopera w NPM (Node Package Manager) i wstrzyknęli złośliwy kod do szeroko używanych pakietów JavaScript. Zainfekowane pakiety łącznie zgromadziły ponad 1 miliard pobrań, co wskazuje na potencjalnie poważne zagrożenie dla deweloperów i użytkowników końcowych w sektorze kryptowalut.
Złośliwy ładunek został zaprojektowany do przechwytywania i modyfikowania danych transakcyjnych w zainfekowanych bibliotekach, cicho zastępując zamierzony adres portfela adresem atakującego. Takie modyfikacje pozostają niewidoczne dla aplikacji, które nie stosują rygorystycznej weryfikacji adresów na łańcuchu. W rezultacie środki wysyłane za pośrednictwem zdecentralizowanych aplikacji lub inteligentnych kontraktów zależnych od zainfekowanych pakietów mogą zostać przekierowane na nieautoryzowane konta, prowadząc do znaczących strat finansowych dla użytkowników.
Guillemet podkreślił, że jedyną niezawodną obroną przed tego typu atakiem jest używanie portfeli sprzętowych wyposażonych w bezpieczne wyświetlacze i obsługę Clear Signing. Bezpieczne wyświetlacze pozwalają użytkownikom zweryfikować dokładny adres odbiorcy oraz kwotę transakcji przed jej zatwierdzeniem. Bez tego poziomu walidacji, oprogramowanie portfela lub zdecentralizowane aplikacje pozostają podatne na ataki polegające na zamianie adresów.
Łańcuchy dostaw oprogramowania open-source od dawna są postrzegane jako potencjalne punkty kompromitacji, szczególnie w krytycznej infrastrukturze i aplikacjach finansowych. Atak na NPM podkreśla wzajemne powiązania nowoczesnych procesów rozwoju, gdzie naruszenie pojedynczego konta może prowadzić do szerokiego skażenia kodu. Eksperci ds. bezpieczeństwa apelują do opiekunów pakietów wysokiego ryzyka o wdrażanie uwierzytelniania wieloskładnikowego, regularnych przeglądów bezpieczeństwa i automatycznych kontroli integralności jako części kompleksowej strategii wzmacniania zabezpieczeń.
Ledger nie ujawnił jeszcze konkretnych pakietów ani deweloperów zaangażowanych w atak, aby nie przyspieszać rozprzestrzeniania się złośliwego kodu. Guillemet zalecił deweloperom audytowanie swoich zależności, monitorowanie żądań sieciowych pod kątem anomalnych działań związanych z zamianą adresów oraz korzystanie z narzędzi kryptograficznych do weryfikacji integralności pakietów. Wezwał też szerszą społeczność open-source oraz użytkowników przedsiębiorstw do współpracy w śledzeniu i usuwaniu zainfekowanych modułów.
Incydent ten następuje po serii głośnych ataków na łańcuch dostaw w rozwoju oprogramowania, w tym trojańskich zależnościach w popularnych ekosystemach. Atak ten przypomina, że środki bezpieczeństwa muszą wykraczać poza bezpośrednie ataki na aplikacje i obejmować cały proces tworzenia oprogramowania. Organizacje są zachęcane do stosowania rygorystycznych kontroli bezpieczeństwa, w tym białych list zależności, ciągłego monitoringu oraz planowania reagowania na incydenty, by ograniczyć przyszłe ryzyka.
Relacja Margaux Nijkerk; redakcja Nikhilesh De.
Komentarze (0)