Donanım cüzdan sağlayıcısı Ledger'ın teknoloji sorumlusu Charles Guillemet, Node.js ekosistemini etkileyen gelişmekte olan bir tedarik zinciri saldırısı hakkında kamuoyu uyarısında bulundu. Guillemet’in sosyal medya platformu X’teki paylaşımına göre, saldırganlar saygın bir geliştiricinin NPM (Node Package Manager) hesabına erişim sağladı ve yaygın olarak kullanılan JavaScript paketlerine kötü amaçlı kod enjekte etti. Ele geçirilen paketler toplamda 1 milyardan fazla indirilme sayısına ulaştı ve bu durum kripto para sektöründeki geliştiriciler ile son kullanıcılar için potansiyel olarak ciddi bir tehdit oluşturuyor.
Kötü amaçlı yük, etkilenen kütüphaneler içinde işlem verilerini yakalayıp değiştirmek amacıyla tasarlandı ve sessizce hedeflenen cüzdan adresini saldırganın adresi ile değiştirdi. Bu tür değişiklikler, zincir üzerindeki adres doğrulamasını sıkı şekilde uygulamayan uygulamalardan görünmez kalır. Sonuç olarak, ele geçirilen paketlere bağımlı merkeziyetsiz uygulamalar veya akıllı kontratlar üzerinden gönderilen fonlar yetkisiz hesaplara yönlendirilebilir ve bu da kullanıcılar için önemli finansal kayıplara yol açabilir.
Guillemet, bu tür saldırılara karşı tek güvenilir savunmanın güvenli ekranlar ve Clear Signing desteği bulunan donanım cüzdanlarının kullanılması olduğunu vurguladı. Güvenli ekranlar, kullanıcıların transferi tamamlamadan önce alıcı adresi ve işlem tutarını tam olarak doğrulamasına olanak tanır. Bu doğrulama seviyesi olmadan, alt seviye cüzdan yazılımları veya merkeziyetsiz uygulamalar adres değiştirme saldırılarına karşı savunmasız kalır.
Açık kaynak yazılım tedarik zincirleri, özellikle kritik altyapı ve finansal uygulamalarda uzun süredir potansiyel zayıf noktalar olarak kabul edilmektedir. NPM’ye yönelik saldırı, modern geliştirme iş akışlarının ne kadar birbirine bağlı olduğunu ve tek bir hesapta yaşanan bir ihlalin geniş çaplı kod kirliliğine yol açabileceğini göstermektedir. Güvenlik uzmanları, yüksek riskli paketlerin bakımcılarını çok faktörlü kimlik doğrulama, düzenli güvenlik incelemeleri ve otomatik bütünlük kontrollerini içeren kapsamlı sertleştirme stratejilerini uygulamaya çağırıyor.
Ledger, kötü amaçlı kodun yayılmasını hızlandırmamak için henüz spesifik paketleri veya ilgili geliştiricileri belirlemedi. Guillemet, geliştiricilere bağımlılıklarını denetlemelerini, ağ taleplerini anormal adres değiştirme faaliyetleri için izlemelerini ve paket bütünlüğünü doğrulamak için kriptografik araçlar kullanmalarını önerdi. Ayrıca daha geniş açık kaynak topluluğu ve kurumsal kullanıcıları söz konusu modüllerin izini sürme ve düzeltme konusunda iş birliği yapmaya çağırdı.
Bu olay, popüler ekosistemlerde trojanlanmış bağımlılıklar da dahil olmak üzere yazılım geliştirmede yüksek profilli tedarik zinciri saldırılarının bir serisini takip ediyor. Saldırı, güvenlik önlemlerinin sadece uygulamalara doğrudan yapılan saldırılarla sınırlı kalmaması gerektiğini, tüm geliştirme zincirini kapsaması gerektiğini hatırlatıyor. Kuruluşlar, gelecekteki riskleri azaltmak için bağımlılık beyaz listesi oluşturma, sürekli izleme ve olay müdahale planlaması gibi sıkı güvenlik kontrolleri uygulamaya teşvik edilmektedir.
Haber Margaux Nijkerk tarafından hazırlandı; Nikhilesh De tarafından düzenlendi.
Yorumlar (0)