Charles Guillemet, diretturi tecnològgicu dĂť fornituri di hardware wallet Ledger, ha fattu na avvirtinza publica supra un attaccu ncumincianu nta la catina di suministrazzioni chi tocca lâecosistema Node.js. Secunnu a lu post di Guillemet supra la piattaforma suciali X, lâattaccanti hannu trasutu nta lu cuntu NPM (Node Package Manager) di un sviluppaturi affidabbili e hannu injectatu codice malizziosu nti pacchetti JavaScript assai usati. Li pacchetti cumpromessi hannu accumulatu cchiĂš di un miliardu di scaricamenti, indicannu na minaccia putenzialmenti gravi pi sviluppaturi e utenti finali ntĂ´ settore di criptumuniti.
Lu caricu malizziosu è disignatu pi intercettari e canciari li dati di transazzioni nti li libririi affittati, rimpiazzannu nzittutu lâindirizzu dĂť wallet previstu cu chiddu di lâattaccanti. Sti modifichi ristanu invisibili pi lâapplicazzioni ca nun implementanu na verificazioni stritta di lâindirizzi on-chain. Comu cunseguenza, li fondi mannati tramite applicazzioni decentralizzati o smart contracts chi dipennunu di sti pacchetti cumpromessi ponnu essiri ricullugati nta cunti nun autorizzati, purtannu a gravi persu finanziari pi lâutenti.
Guillemet ha enfatizzatu chi lâunica difisa affidabbili contru a stu tipu di attaccu è lâusu di hardware wallets cun schermu sicuru e supportu pi Clear Signing. Li schermati sicuri permettunu a lâutenti di verificari lâindirizzu esattu dĂť destinatariu e lâammonti dâ transazzioni prima di cunfirmari nu trasferimentu. Senza stu liveddu di validazzioni, lu software di wallet a valle o lâapplicazzioni decentralizzati restanu vulnerabili a attacchi di scambiu di indirizzi.
Li catini di suministrazzioni di software open-source su stati ricunnisciuti pi longu tempu comu punti putenziali di cumpromissioni, specialmenti nti lâinfrastruttura critica e lâapplicazzioni finanziari. Lâattaccu a NPM mette in risaltu la natura ntrincata dĂŽ workflow di sviluppu muderni, unni na violazioni di un sulu cuntu pò purtari a na contaminazzioni diffusa dĂť codice. Lâesperti di sicurizza stannu incuraggiannu li manutenituri di pacchetti a risicu Ă utu a implementari autenticazzioni multi-fattori, riesami di sicurizza rigulari e cuntrolli automatizzati dâ ntigritĂ comu parti di na strategia cumplessa di raffurzamentu.
Ledger ancora nun ha identificatu li pacchetti specifici o li sviluppaturi nichiati pi evitari di accelerari la spartenza dĂť codice malizziosu. Guillemet cunsigghiau li sviluppaturi di auditĂ ri li so dipinnenzi, monitorari li richiesti di reta pi attivitĂ anomali di scambiu dâindirizzi e aduprari strumenti crittugrafici pi verificari lântigritĂ dĂŽ pacchetti. Ha macari chiamatu la comunitĂ open-source cchiĂš vasta e lâutenti dâimprese a collaborari nti tracciari e rimediari li moduli cumpromessi.
Stu ncedenti veni dopu a na seria di attacchi di catina di suministrazzioni di altu profili nti lu sviluppu di software, cumpresi dipinnenzi trojanizzati nti ecosistemi pupulari. Lâattaccu servi comu nâavvirtimentu ca li misuri di sicurizza hannu a espandirisi oltre lâattacchi diretti allâapplicazzioni pi nzignari tutta la linea di sviluppu. Li urganizzazzioni su incuraggiate a usari cuntrolli rigorusi di sicurizza, cumpresi liste bianche di dipinnenzi, monitoraggiu cuntinuu e pianificazzioni di risposti a ncedenti pi mitigarĂŹ li risichi futuri.
Rapportu di Margaux Nijkerk; Editatu di Nikhilesh De.
Cummenti (0)