硬件钱包供应商Ledger的首席技术官Charles Guillemet发布公开警告,指出一起正在发生的影响Node.js生态系统的供应链攻击。根据Guillemet在社交媒体平台X上的帖子,攻击者获取了一个知名开发者的NPM(Node包管理器)账户,并向广泛使用的JavaScript软件包中注入了恶意代码。受影响的软件包累计下载量超过10亿次,这表明对加密货币领域的开发者和终端用户构成了潜在的严重威胁。
恶意负载旨在截获并修改受影响库中的交易数据,悄无声息地将原定的钱包地址替换为攻击者地址。对于未实施严格链上地址验证的应用程序,这种修改是不可见的。因此,通过依赖受影响软件包的去中心化应用或智能合约发送的资金可能会被重定向到未授权账户,导致用户遭受重大财务损失。
Guillemet强调,对抗此类攻击的唯一可靠防御措施是使用配备安全显示屏和支持Clear Signing的硬件钱包。安全显示屏使用户能够在完成转账前验证确切的收款地址和交易金额。缺乏此类验证,后端钱包软件或去中心化应用仍易受地址替换攻击。
开源软件供应链长期以来被认为是潜在的攻击点,尤其是在关键基础设施和金融应用中。此次NPM攻击凸显出现代开发工作流程的互联性质,一处账户被攻破即可引发广泛的代码污染。安全专家敦促高风险软件包的维护者实施多因素身份认证、定期安全审查和自动完整性检查,作为全面加强安全策略的一部分。
Ledger尚未确定具体的软件包或涉及的开发者,以避免恶意代码的进一步传播。Guillemet建议开发者审计其依赖项,监控网络请求异常的地址替换活动,并使用加密工具验证软件包完整性。他同时呼吁更广泛的开源社区和企业用户合作追踪和修复受影响的模块。
此次事件紧随一系列软件开发中的高调供应链攻击之后,包括流行生态系统中的木马依赖。该攻击提醒大家,安全措施必须超越对应用程序的直接攻击,涵盖整个开发流程。各组织被鼓励采取严格的安全控制措施,包括依赖白名单、持续监控和事件响应规划,以降低未来风险。
报道:Margaux Nijkerk;编辑:Nikhilesh De。
评论 (0)