Charles Guillemet, glavni tehnični direktor pri ponudniku strojnih denarnic Ledger, je izdal javno opozorilo o razvijajočem se napadu na dobavno verigo, ki vpliva na ekosistem Node.js. Po Guillemetovi objavi na družbenem omrežju X so napadalci pridobili dostop do računa uglednega razvijalca na NPM (Node Package Manager) in v široko uporabljene JavaScript pakete vstavili zlonamerno kodo. Kompromitirani paketi so skupaj zbrali več kot 1 milijardo prenosov, kar kaže na potencialno resno grožnjo za razvijalce in končne uporabnike v kripto sektorju.
Zlonamerna koda je zasnovana tako, da prestreza in spreminja podatke o transakcijah znotraj prizadetih knjižnic, tiho zamenjava ciljnega naslov denarnice z naslovom napadalca. Takšne spremembe ostanejo nevidne za aplikacije, ki ne izvajajo stroge verifikacije naslovov na verigi. Posledično se lahko sredstva, poslana preko decentraliziranih aplikacij ali pametnih pogodb, ki temeljijo na kompromitiranih paketih, preusmerijo na nepooblaščene račune, kar povzroča znatno finančno škodo uporabnikom.
Guillemet je poudaril, da je edina zanesljiva obramba pred tovrstnim napadom uporaba strojnih denarnic, opremljenih z varnimi prikazi in podporo za Clear Signing. Varnostni prikazi omogočajo uporabnikom, da pred dokončno izvedbo prenosa preverijo točen naslov prejemnika in znesek transakcije. Brez takšne ravni preverjanja so denarnice in decentralizirane aplikacije še vedno ranljive za napade z zamenjavo naslovov.
Dobavne verige odprtokodne programske opreme so že dolgo prepoznane kot potencialne točke kompromisa, zlasti v kritični infrastrukturi in finančnih aplikacijah. Napad na NPM poudarja medsebojno povezano naravo sodobnih razvojnih procesov, kjer lahko vdor v en račun sproži obsežno kontaminacijo kode. Varnostni strokovnjaki pozivajo vzdrževalce tveganih paketov, naj uvedejo večfaktorsko avtentikacijo, redne varnostne preglede in avtomatizirane preglede integritete kot del celovite strategije za okrepitev varnosti.
Ledger še ni razkril specifičnih paketov ali vpletenih razvijalcev, da bi preprečil pospeševanje širjenja zlonamerne kode. Guillemet je razvijalcem svetoval, naj pregledajo svoje odvisnosti, spremljajo omrežne zahteve zaradi nenavadnih aktivnosti zamenjave naslovov in uporabljajo kriptografska orodja za preverjanje integritete paketov. Prav tako je pozval širšo odprtokodno skupnost in podjetniške uporabnike k sodelovanju pri sledenju in odpravljanju kompromitiranih modulov.
Dogodek sledi seriji odmevnih napadov na dobavne verige v programski opremi, vključno z trojanskimi odvisnostmi v priljubljenih ekosistemih. Napad opominja, da morajo varnostni ukrepi segati onkraj neposrednih napadov na aplikacije in vključevati celoten razvojni proces. Organizacije so pozvane, naj uvedejo stroge varnostne kontrole, vključno z belim seznamom odvisnosti, neprekinjenim nadzorom in načrtovanjem odziva na incidente za zmanjšanje prihodnjih tveganj.
Pripravil Margaux Nijkerk; uredil Nikhilesh De.
Komentarji (0)