Charles Guillemet, director tehnic la furnizorul de portofele hardware Ledger, a emis un avertisment public despre un atac în curs asupra lanțului de aprovizionare care afectează ecosistemul Node.js. Potrivit unei postări a lui Guillemet pe platforma socială X, atacatorii au obținut acces la contul NPM (Node Package Manager) al unui dezvoltator reputat și au injectat cod malițios în pachete JavaScript utilizate pe scară largă. Pachetele compromise au acumulat împreună peste 1 miliard de descărcări, indicând o amenințare potențial gravă pentru dezvoltatori și utilizatori finali din sectorul criptomonedelor.
Sarcina malițioasă este concepută pentru a intercepta și modifica datele tranzacțiilor în bibliotecile afectate, înlocuind silențios adresa portofelului destinatar cu adresa atacatorului. Astfel de modificări rămân invizibile aplicațiilor care nu implementează o verificare strictă a adreselor pe blockchain. Ca rezultat, fondurile trimise prin aplicații descentralizate sau contracte inteligente care depind de pachetele compromise ar putea fi redirecționate către conturi neautorizate, cauzând pierderi financiare semnificative pentru utilizatori.
Guillemet a subliniat că singura apărare fiabilă împotriva acestui tip de atac este utilizarea portofelelor hardware echipate cu afișaje securizate și suport pentru Clear Signing. Afișajele securizate permit utilizatorilor să verifice adresa exactă a destinatarului și suma tranzacției înainte de finalizarea transferului. Fără acest nivel de validare, software-ul de portofel sau aplicațiile descentralizate rămân vulnerabile la atacuri de tip schimbare a adresei.
Lanțurile de aprovizionare software open-source au fost mult timp recunoscute ca potențiale puncte de compromis, în special în infrastructura critică și aplicațiile financiare. Atacul asupra NPM subliniază natura interconectată a fluxurilor moderne de dezvoltare, unde o breșă într-un singur cont poate cascada într-o contaminare extinsă a codului. Experții în securitate recomandă administratorilor pachetelor cu risc ridicat să implementeze autentificarea cu mai mulți factori, revizuiri regulate de securitate și verificări automate de integritate ca parte a unei strategii cuprinzătoare de întărire.
Ledger nu a identificat încă pachetele specifice sau dezvoltatorii implicați pentru a evita accelerarea răspândirii codului malițios. Guillemet a sfătuit dezvoltatorii să auditeze dependențele, să monitorizeze cererile de rețea pentru activități anormale de schimbare a adreselor și să utilizeze instrumente criptografice pentru a verifica integritatea pachetelor. De asemenea, a făcut apel la comunitatea open-source și utilizatorii enterprise să colaboreze pentru a investiga și remedia modulele compromise.
Acest incident urmează unei serii de atacuri notorii asupra lanțurilor de aprovizionare în dezvoltarea software-ului, inclusiv dependențe troianizate în ecosisteme populare. Atacul servește ca o reamintire că măsurile de securitate trebuie să se extindă dincolo de atacurile directe asupra aplicațiilor pentru a include întregul proces de dezvoltare. Organizațiile sunt încurajate să aplice controale de securitate riguroase, inclusiv liste albe pentru dependențe, monitorizare continuă și planificare a răspunsului la incidente pentru a reduce riscurile viitoare.
Reportaj de Margaux Nijkerk; Editare de Nikhilesh De.
Comentarii (0)