Charles Guillemet, chief technology officer di panyadia dompet hardware Ledger, ngaluarkeun peringatan umum ngeunaan serangan ranté suplai anu keur lumangsung anu mangaruhan ékosistem Node.js. Nurutkeun tulisan Guillemet dina platform média sosial X, panyerang hasil ngakses akun NPM (Node Package Manager) pamekar anu dipercaya sarta nyuntikkeun kode jahat kana pakét JavaScript anu loba dipaké. Paket anu kaganggu geus ngumpulkeun langkung ti 1 milyar download sacara kolektif, nunjukkeun ancaman anu serius pikeun pamekar jeung pamaké ahir dina séktor cryptocurrency.
Muatan jahat dirancang pikeun nyundut jeung ngarobah data transaksi dina perpustakaan anu kaganggu, sacara sepi ngagantikeun alamat dompet anu dimaksud ku alamat panyerang. Parobahan sapertos kitu teu katingali ku aplikasi anu henteu ngalaksanakeun verifikasi alamat on-chain anu ketat. Hasilna, dana anu dikirimkeun ngalangkungan aplikasi terdesentralisasi atawa kontrak pinter anu gumantung kana paket anu kaganggu bisa dialihkeun ka akun anu teu sah, nyababkeun karugian finansial signifikan pikeun pamaké.
Guillemet nekenkeun yén hiji-hijina pertahanan anu dipercaya ngalawan jinis serangan ieu nyaéta ngagunakeun dompet hardware anu dilengkepan layar aman sarta dukungan pikeun Clear Signing. Layar aman ngamungkinkeun pamaké pikeun mariksa alamat panarima sareng jumlah transaksi sacara tepat sateuacan ngawujudkeun transfer. Tanpa tingkat validasi ieu, software dompet handap atawa aplikasi terdesentralisasi tetep rawan kana serangan tukeur alamat.
Ranté suplai perangkat lunak sumber terbuka geus lila diaku minangka titik poténsial kompromi, utamana dina infrastruktur kritis jeung aplikasi finansial. Serangan ka NPM nekenkeun sifat interkoneksi prosés pangwangunan modéren, dimana pelanggaran dina hiji akun bisa nyebarkeun kontaminasi kode sacara luas. Ahli kaamanan ngadesek pangelola paket anu résiko luhur pikeun ngalaksanakeun otentikasi multi-faktor, tinjauan kaamanan rutin, jeung cek integritas otomatis salaku bagian tina stratégi hardening anu lengkep.
Ledger can ngahartikeun paket khusus atawa pamekar anu kalibet pikeun nyingkahan nyebarkeun kode jahat sacara gancang. Guillemet nyarankeun pamekar pikeun mariksa audit ketergantungan maranéhna, ngawas pamundut jaringan pikeun aktivitas tukeur alamat anu anéh sarta ngagunakeun alat kriptografi pikeun mastikeun integritas paket. Anjeunna ogé ngajak komunitas sumber terbuka anu langkung lega sareng pamaké perusahaan pikeun gawé bareng ngalacak jeung meresihan modul anu kaganggu.
Kajadian ieu nuturkeun runtuyan serangan ranté suplai anu kasohor dina pangwangunan perangkat lunak, kaasup ketergantungan trojanized dina ékosistem populér. Serangan ieu janten pangeling yén léngkah kaamanan kudu ngalebetkeun henteu ngan ukur serangan langsung kana aplikasi tapi ogé saluran pangwangunan sacara umum. Organisasi dianjurkeun pikeun ngalaksanakeun kontrol kaamanan anu ketat, kaasup whitelisting ketergantungan, monitoring kontinyu, sarta perencanaan respons insiden pikeun ngurangan résiko di mangsa datang.
Laporan ku Margaux Nijkerk; Diedit ku Nikhilesh De.
Komentar (0)