Charles Guillemet,硬件钱包供应商Ledger的首席技术官,发布了关于正在发生的影响Node.js生态系统的供应链攻击的公开警告。根据Guillemet在社交媒体平台X上的帖子,攻击者获得了一个知名开发者的NPM(Node Package Manager)账号的访问权限,并向广泛使用的JavaScript包中注入了恶意代码。被攻破的包累计下载量超过10亿次,表明对加密货币领域的开发者和最终用户构成了潜在的严重威胁。
恶意负载旨在拦截并篡改受影响库中的交易数据,悄无声息地将预期的钱包地址替换为攻击者的地址。这种修改对于未实施严格链上地址验证的应用程序来说是不可见的。因此,通过依赖被攻破包的去中心化应用或智能合约发送的资金可能被重定向到未经授权的账户,导致用户遭受重大财务损失。
Guillemet强调,针对这种类型攻击的唯一可靠防御是使用配备安全显示和支持Clear Signing的硬件钱包。安全显示允许用户在完成转账前验证准确的接收地址和交易金额。没有这种级别的验证,下游钱包软件或去中心化应用仍然容易受到地址交换攻击的威胁。
开源软件供应链长期以来被认为是潜在的妥协点,特别是在关键基础设施和金融应用中。NPM的攻击凸显了现代开发工作流程的互联性,在单一账户被攻破时可能引发广泛的代码污染。安全专家敦促高风险包的维护者实施多因素认证、定期安全审查和自动完整性检查,作为全面加固策略的一部分。
Ledger尚未确定具体包或涉及的开发者,以避免加剧恶意代码的传播。Guillemet建议开发者审计其依赖项,监控网络请求中异常的地址交换活动,并使用加密工具验证包的完整性。他同时呼吁更广泛的开源社区和企业用户合作追踪并修复受影响的模块。
此次事件紧随一系列高调的软件开发供应链攻击之后,包括在流行生态系统中的木马依赖。此次攻击提醒我们,安全措施必须超越对应用的直接攻击,涵盖整个开发流程。组织被鼓励采用严格的安全控制措施,包括依赖白名单、持续监控和事件响应计划,以减轻未来的风险。
报道:Margaux Nijkerk;编辑:Nikhilesh De。
评论 (0)