Čarls Gijemé, glavni tehnički direktor kod provajdera hardverskih novčanika Ledger, izdao je javno upozorenje o razotkrivenom napadu na lanac snabdevanja koji pogađa Node.js ekosistem. Prema Gijeméovoj objavi na društvenoj mreži X, napadači su stekli pristup NPM (Node Package Manager) nalogu renomiranog programera i ubacili zlonamerni kod u široko korišćene JavaScript pakete. Kompromitovani paketi su zajedno preuzeti preko milijardu puta, što ukazuje na potencijalno ozbiljnu pretnju za programere i krajnje korisnike u sektoru kriptovaluta.
Zlonamerni sadržaj je dizajniran da presretne i izmeni podatke o transakcijama unutar pogođenih biblioteka, tiho zamenjujući namenjenu adresu novčanika adresom napadača. Takve izmene ostaju nevidljive za aplikacije koje ne primenjuju strogu verifikaciju adresa na lancu. Kao rezultat, sredstva poslana putem decentralizovanih aplikacija ili pametnih ugovora koji zavise od kompromitovanih paketa mogu biti preusmerena na neovlašćene račune, što dovodi do značajnih finansijskih gubitaka za korisnike.
Gijemé je naglasio da je jedina pouzdana odbrana od ovog tipa napada upotreba hardverskih novčanika opremljenih sigurnim ekranima i podrškom za Clear Signing. Sigurni ekrani omogućavaju korisnicima da provere tačnu adresu primaoca i iznos transakcije pre konačne potvrde prenosa. Bez ovog nivoa validacije, softver za novčanike ili decentralizovane aplikacije ostaju ranjivi na napade zamenom adresa.
Lanac snabdevanja softverom otvorenog koda dugo se prepoznaje kao potencijalna tačka kompromisa, naročito u kritičnoj infrastrukturi i finansijskim aplikacijama. Napad na NPM ističe međuzavisnu prirodu savremenih razvojnih tokova, gde proboj na jednom nalogu može prouzrokovati široko rasprostranjenu kontaminaciju koda. Stručnjaci za bezbednost pozivaju održavače visokorizičnih paketa da uvedu višefaktorsku autentifikaciju, redovne bezbednosne preglede i automatizovane provere integriteta kao deo sveobuhvatne strategije jačanja.
Ledger još nije identifikovao specifične pakete ili programere uključene u napad kako bi se izbeglo ubrzavanje širenja zlonamernog koda. Gijemé je savetovao programere da revidiraju svoje zavisnosti, prate mrežne zahteve u potrazi za anomalnim aktivnostima zamene adresa i koriste kriptografske alate za verifikaciju integriteta paketa. Takođe je pozvao širu zajednicu otvorenog koda i korporativne korisnike da sarađuju u praćenju i saniranju kompromitovanih modula.
Ovaj incident sledi niz visokoprofilisanih napada na lanac snabdevanja u razvoju softvera, uključujući trojanizovane zavisnosti u popularnim ekosistemima. Napad podseća da bezbednosne mere moraju obuhvatiti ne samo direktne napade na aplikacije već i čitav razvojni lanac. Organizacijama se preporučuje da primene rigorozne bezbednosne kontrole, uključujući beleženje dozvoljenih zavisnosti, kontinuirano praćenje i planiranje odgovora na incidente kako bi ublažile buduće rizike.
Izveštavala Margot Najkerk; Uredio Nikhiles De.
Коментари (0)