Od 'Červeného kódu' k 'Nicburgeru': Byl exploit NPM přeceňován?

‘Nicotina’ s varováním

Počáteční zprávy o rozsáhlém útoku na dodavatelský řetězec JavaScript Node Package Manager (NPM) vyvolaly krátkou, ale intenzivní paniku v kryptokomunitě. Na několik hodin, věštitelé zkázy se chopili varování a spekulovali o rozsáhlé krádeži uživatelských prostředků. V té době, CTO Ledger, Charles Guillemet, radil uživatelům softwarových peněženek zastavit transakce na řetězci a uživatelům hardwarových peněženek důkladně zkontrolovat každou transakci.

Nicméně po několika hodinách se rozměr útoku stal jasnějším. Bylo odhaleno, že škodlivý kód byl vysoce cílený a počet dotčených aplikací byl omezený. Významné projekty jako Uniswap, Metamask, OKX Wallet a Aave všechna vydala prohlášení potvrzující, že nebyly ovlivněny.

Nedostatek rozšířených škod rychle proměnil počáteční paniku v debatu. Někteří uklidnění kryptouživatelé začali zpochybňovat závažnost původního varování, přičemž někteří nyní vidí to jako přehnané a potenciálně dokonce jako nepřímý útok na softwarové peněženky. Tento názor naznačuje, že varování, zatímco zdůrazňuje skutečnou zranitelnost, mohlo být zveličeno k podpoře používání hardwarových peněženek.

Zatímco rozsah škod v podobě kradených kryptoměn vedl některé k tomu, aby označili tento exploit jako “nicotinu”, někteří odborníci na blockchainovou bezpečnost trvají na tom, že incident by měl sloužit jako varování pro všechny vývojáře softwaru. Tito experti souhlasí, že incident potvrzuje bezpečnostní model hardwarových peněženek, ale také varují, že uživatelé těchto peněženek by mohli stále přijít o prostředky při podobném útoku za určitých okolností.

Augusto Teixeira, spoluzakladatel společnosti Cartesi, to ilustroval slovy: “I uživatelé hardwarových peněženek by mohli být zasaženi takovými útoky. Například několik lidí používá své hardwarové peněženky s pomocí Metamask, aniž by si ověřili data na obrazovce zařízení. To se stává častějším, jak se transakce stávají složitějšími a lidé je slepě podepisují. Ověřování je obtížné.”

Podle Teixeiry hardwarové peněženky postrádají důležité funkce jako telefonní seznamy nebo integraci s JSON ABI, které by umožnily uživatelům lépe porozumět tomu, co podepisují z obrazovky zařízení.

Dopady na celém odvětví a osvědčené postupy

Incident NPM zpochybnil bezpečnostní praktiky používané vývojáři, správci balíků a organizacemi. Někteří v kryptoprůmyslu věří, že dodržování osvědčených postupů – jako je recenze kolegy a zákaz posílat kód do produkce bez schválení – může minimalizovat pravděpodobnost takového útoku. Navíc argumentují, že by vývojáři měli aktualizovat systémy a vyhýbat se opětovnému použití hesel.

Shahaf Bar-Geffen, spoluzakladatel a CEO společnosti COTI, věří, že správci balíků jako NPM by měli ztížit přihlašovací proces pro potenciálního útočníka. Tvrdí, že “Rámec pro zabezpečení kritických balíků”, potenciálně pod dohledem orgánů jako OpenJS Foundation, “by mohl nařídit silné ověřování (2FA, rozsahové API tokeny), reprodukovatelné buildy a roční audity třetími stranami pro balíky překračující určité limity stahování.” Bar-Geffen věří, že tento vrstevní ověřovací model by pomohl motivovat osvědčené postupy a zároveň chránit kritickou infrastrukturu.

Aby se zabránilo spoléhání se na jedinou osobu (která může mít své vlastní zájmy) k odhalení škodlivé aktivity, Carlo Fragni, architekt řešení ve společnosti Cartesi, povzbuzuje projekty, aby sledovaly kanály používané výzkumníky. Také obhajuje “používání nástrojů pro analýzu závislostí a provádění due diligence na každé závislosti vždy, když je aktualizována na novou verzi.”