硬件錢包供應商Ledger的首席技術官Charles Guillemet對Node.js生態系統中正在發生的一宗供應鏈攻擊發出了公開警告。根據Guillemet在社交媒體平台X上的帖子,攻擊者取得了一位知名開發者的NPM(Node Package Manager)帳戶訪問權,並將惡意代碼注入廣泛使用的JavaScript軟件包中。被攻擊的軟件包累計下載量超過10億次,顯示出對加密貨幣領域的開發者和最終用戶可能構成嚴重威脅。
惡意負載旨在截取並更改受影響庫中的交易數據,悄無聲息地將預定的錢包地址替換為攻擊者的地址。對於未實施嚴格鏈上地址驗證的應用程序來說,這種修改是不可見的。因此,通過依賴受損軟件包的去中心化應用程序或智能合約發送的資金可能會被重定向至未經授權的賬戶,導致用戶遭受重大財務損失。
Guillemet強調,針對此類攻擊的唯一可靠防禦措施是使用配備安全顯示屏並支持Clear Signing的硬件錢包。安全顯示屏讓用戶能夠在完成轉賬前驗證收款地址和交易金額的準確性。沒有這一級別的驗證,後端錢包軟件或去中心化應用仍然易受地址交換攻擊的威脅。
開源軟件供應鏈長期以來被認為是可能的安全妥協點,尤其是在關鍵基礎設施和金融應用中。這次對NPM的攻擊突顯了現代開發工作流程的互聯性,其中單一帳戶被入侵便可能導致廣泛的代碼污染。安全專家敦促高風險軟件包的維護者實施多因素身份驗證、定期安全審查和自動化完整性檢查,作為全面加固策略的一部分。
Ledger尚未公布具體受影響的軟件包或相關開發者,以避免加速惡意代碼的傳播。Guillemet建議開發者對其依賴項進行審計,監控網絡請求中異常的地址交換活動,並利用加密工具驗證軟件包完整性。他還呼籲更廣泛的開源社區和企業用戶共同合作,追蹤並修復受損模組。
這起事件是繼軟件開發中一系列高調供應鏈攻擊之後的又一例,包括在流行生態系統中被植入木馬的依賴項。此攻擊提醒我們,安全措施必須超越對應用程序的直接攻擊,涵蓋整個開發流程。組織被鼓勵採用嚴格的安全控制,包括依賴白名單、持續監控和事件響應計劃,以降低未來風險。
報導:Margaux Nijkerk;編輯:Nikhilesh De。
評論 (0)