ชาร์ลส์ กุยเลเมต์ ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของผู้ให้บริการกระเป๋าฮาร์ดแวร์ Ledger ได้ออกคำเตือนสาธารณะเกี่ยวกับการโจมตีห่วงโซ่อุปทานที่กำลังเกิดขึ้นซึ่งส่งผลกระทบต่อระบบนิเวศ Node.js ตามโพสต์ของกุยเลเมต์บนแพลตฟอร์มโซเชียลมีเดีย X ผู้โจมตีเข้าถึงบัญชี NPM (Node Package Manager) ของนักพัฒนาที่มีชื่อเสียงและแทรกโค้ดที่เป็นอันตรายลงในแพ็กเกจ JavaScript ที่ใช้กันอย่างแพร่หลาย แพ็กเกจที่ได้รับผลกระทบเหล่านี้มีการดาวน์โหลดรวมกันมากกว่า 1 พันล้านครั้ง ซึ่งชี้ให้เห็นถึงภัยคุกคามที่อาจรุนแรงต่อนักพัฒนาและผู้ใช้ปลายทางในภาคคริปโตเคอร์เรนซี
พารามิเตอร์ที่เป็นอันตรายถูกออกแบบมาเพื่อดักจับและเปลี่ยนแปลงข้อมูลธุรกรรมภายในไลบรารีที่ได้รับผลกระทบ โดยแทนที่ที่อยู่กระเป๋าที่ต้องการด้วยที่อยู่ของผู้โจมตีอย่างเงียบ ๆ การเปลี่ยนแปลงดังกล่าวไม่สามารถมองเห็นได้สำหรับแอปพลิเคชันที่ไม่ใช้การตรวจสอบที่อยู่บนเชนอย่างเข้มงวด ส่งผลให้เงินที่ส่งผ่านแอปพลิเคชันแบบกระจายอำนาจหรือสมาร์ตคอนแทรกต์ที่พึ่งพาแพ็กเกจที่ถูกโจมตีอาจถูกเปลี่ยนเส้นทางไปยังบัญชีที่ไม่ได้รับอนุญาต ซึ่งอาจนำไปสู่การสูญเสียทางการเงินอย่างมากสำหรับผู้ใช้
กุยเลเมต์เน้นว่าการป้องกันที่น่าเชื่อถือเพียงอย่างเดียวสำหรับการโจมตีประเภทนี้คือการใช้กระเป๋าฮาร์ดแวร์ที่ติดตั้งจอแสดงผลที่ปลอดภัยและรองรับการลงนามแบบชัดเจน (Clear Signing) จอแสดงผลที่ปลอดภัยช่วยให้ผู้ใช้ตรวจสอบที่อยู่ผู้รับและจำนวนเงินที่แน่นอนก่อนยืนยันการโอน หากไม่มีการตรวจสอบในระดับนี้ ซอฟต์แวร์กระเป๋าเงินหรือแอปพลิเคชันแบบกระจายอำนาจที่ใช้ต่อก็ยังคงมีความเสี่ยงต่อการโจมตีแบบสลับที่อยู่
ห่วงโซ่อุปทานซอฟต์แวร์โอเพ่นซอร์สได้รับการยอมรับมานานแล้วว่าเป็นจุดที่อาจมีความเสี่ยงโดยเฉพาะอย่างยิ่งในโครงสร้างพื้นฐานที่สำคัญและแอปพลิเคชันทางการเงิน การโจมตีใน NPM เน้นย้ำถึงความสัมพันธ์เชื่อมโยงกันในกระบวนการพัฒนาสมัยใหม่ ซึ่งการถูกโจมตีที่บัญชีเดียวสามารถส่งผลให้เกิดการปนเปื้อนโค้ดทั่วทั้งระบบ ผู้เชี่ยวชาญด้านความปลอดภัยจึงเร่งเร้าให้ผู้ดูแลแพ็กเกจที่มีความเสี่ยงสูงต้องใช้การยืนยันตัวตนแบบหลายขั้นตอน ตรวจสอบความปลอดภัยอย่างสม่ำเสมอ และใช้การตรวจเช็คความสมบูรณ์แบบอัตโนมัติเป็นส่วนหนึ่งของกลยุทธ์การเสริมความแข็งแกร่งโดยรวม
Ledger ยังไม่สามารถระบุแพ็กเกจเฉพาะหรือผู้พัฒนาที่เกี่ยวข้องเพื่อหลีกเลี่ยงการเร่งการแพร่กระจายของโค้ดที่เป็นอันตราย กุยเลเมต์แนะนำให้นักพัฒนาตรวจสอบการพึ่งพาของตนเอง ติดตามคำขอเครือข่ายสำหรับกิจกรรมการสลับที่อยู่ที่ผิดปกติ และใช้เครื่องมือเข้ารหัสเพื่อยืนยันความสมบูรณ์ของแพ็กเกจ เขายังเรียกร้องให้ชุมชนโอเพ่นซอร์สและผู้ใช้ในองค์กรกว้างขึ้นร่วมมือกันติดตามและแก้ไขโมดูลที่ถูกโจมตี
เหตุการณ์นี้เป็นส่วนหนึ่งของการโจมตีห่วงโซ่อุปทานที่มีชื่อเสียงหลายครั้งในการพัฒนาซอฟต์แวร์ รวมถึงการแทรกซึมของฐานข้อมูลที่ติด Trojan ในระบบนิเวศยอดนิยม การโจมตีนี้เตือนให้ระวังว่ามาตรการรักษาความปลอดภัยต้องขยายไปไกลกว่าการโจมตีตรงไปยังแอปพลิเคชัน ให้รวมถึงกระบวนการพัฒนาซอฟต์แวร์ทั้งหมด องค์กรถูกกระตุ้นให้ใช้การควบคุมความปลอดภัยที่เข้มงวด รวมถึงการกำหนดรายการแพ็กเกจที่อนุญาต การตรวจสอบอย่างต่อเนื่อง และแผนตอบสนองต่อเหตุการณ์เพื่อลดความเสี่ยงในอนาคต
รายงานโดย มาร์โก นิเจอร์ค; แก้ไขโดย นิคลิเลช ดี.
ความคิดเห็น (0)