Charles Guillemet, diretturi tecnològgicu dû fornituri di hardware wallet Ledger, ha fattu na avvirtinza publica supra un attaccu ncumincianu nta la catina di suministrazzioni chi tocca l’ecosistema Node.js. Secunnu a lu post di Guillemet supra la piattaforma suciali X, l’attaccanti hannu trasutu nta lu cuntu NPM (Node Package Manager) di un sviluppaturi affidabbili e hannu injectatu codice malizziosu nti pacchetti JavaScript assai usati. Li pacchetti cumpromessi hannu accumulatu cchiù di un miliardu di scaricamenti, indicannu na minaccia putenzialmenti gravi pi sviluppaturi e utenti finali ntô settore di criptumuniti.
Lu caricu malizziosu è disignatu pi intercettari e canciari li dati di transazzioni nti li libririi affittati, rimpiazzannu nzittutu l’indirizzu dû wallet previstu cu chiddu di l’attaccanti. Sti modifichi ristanu invisibili pi l’applicazzioni ca nun implementanu na verificazioni stritta di l’indirizzi on-chain. Comu cunseguenza, li fondi mannati tramite applicazzioni decentralizzati o smart contracts chi dipennunu di sti pacchetti cumpromessi ponnu essiri ricullugati nta cunti nun autorizzati, purtannu a gravi persu finanziari pi l’utenti.
Guillemet ha enfatizzatu chi l’unica difisa affidabbili contru a stu tipu di attaccu è l’usu di hardware wallets cun schermu sicuru e supportu pi Clear Signing. Li schermati sicuri permettunu a l’utenti di verificari l’indirizzu esattu dû destinatariu e l’ammonti dâ transazzioni prima di cunfirmari nu trasferimentu. Senza stu liveddu di validazzioni, lu software di wallet a valle o l’applicazzioni decentralizzati restanu vulnerabili a attacchi di scambiu di indirizzi.
Li catini di suministrazzioni di software open-source su stati ricunnisciuti pi longu tempu comu punti putenziali di cumpromissioni, specialmenti nti l’infrastruttura critica e l’applicazzioni finanziari. L’attaccu a NPM mette in risaltu la natura ntrincata dî workflow di sviluppu muderni, unni na violazioni di un sulu cuntu pò purtari a na contaminazzioni diffusa dû codice. L’esperti di sicurizza stannu incuraggiannu li manutenituri di pacchetti a risicu à utu a implementari autenticazzioni multi-fattori, riesami di sicurizza rigulari e cuntrolli automatizzati dâ ntigrità comu parti di na strategia cumplessa di raffurzamentu.
Ledger ancora nun ha identificatu li pacchetti specifici o li sviluppaturi nichiati pi evitari di accelerari la spartenza dû codice malizziosu. Guillemet cunsigghiau li sviluppaturi di audità ri li so dipinnenzi, monitorari li richiesti di reta pi attività anomali di scambiu d’indirizzi e aduprari strumenti crittugrafici pi verificari l’ntigrità dî pacchetti. Ha macari chiamatu la comunità open-source cchiù vasta e l’utenti d’imprese a collaborari nti tracciari e rimediari li moduli cumpromessi.
Stu ncedenti veni dopu a na seria di attacchi di catina di suministrazzioni di altu profili nti lu sviluppu di software, cumpresi dipinnenzi trojanizzati nti ecosistemi pupulari. L’attaccu servi comu n’avvirtimentu ca li misuri di sicurizza hannu a espandirisi oltre l’attacchi diretti all’applicazzioni pi nzignari tutta la linea di sviluppu. Li urganizzazzioni su incuraggiate a usari cuntrolli rigorusi di sicurizza, cumpresi liste bianche di dipinnenzi, monitoraggiu cuntinuu e pianificazzioni di risposti a ncedenti pi mitigarì li risichi futuri.
Rapportu di Margaux Nijkerk; Editatu di Nikhilesh De.
Cummenti (0)