Fra 'Code Red' til 'Nothingburger': Var NPM-udnyttelsen overhyped?

En ‘ikke-begivenhed’ med et wake-up call

Indledende rapporter om et storstilet JavaScript Node Package Manager (NPM) forsyningskædeangreb udløste en kort, men intens panikperiode inden for kryptosamfundet. I et par timer greb dommedagsprofeter advarslen og spekulerede i en omfattende tyveri af brugerfonde. På det tidspunkt rådgav Ledger CTO, Charles Guillemet, software wallet-brugere om at stoppe on-chain-transaktioner, og hardware wallet-brugere om at dobbelt-tjekke hver transaktion.

Men efterhånden som timerne gik, blev omfanget af angrebet klarere. Det blev afsløret, at den ondsindede kode var meget målrettet, og antallet af berørte applikationer var begrænset. Fremtrædende projekter som Uniswap, Metamask, OKX Wallet og Aave udsendte alle erklæringer, der bekræftede, at de ikke var berørt.

Manglen på omfattende skade forvandlede hurtigt den indledende panik til en debat. Nogle lettede kryptobrukere begyndte at stille spørgsmålstegn ved alvorligheden af den oprindelige advarsel, med nogle der nu ser det som alarmistisk og muligvis endda et indirekte angreb på software wallets. Dette perspektiv antyder, at advarslen, mens det fremhævede en reel sårbarhed, kunne have været overdrevet for at fremme brugen af hardware wallets.

Mens skaden i form af stjålet crypto har fået nogle til at mærke udnyttelsen som en “ikke-begivenhed,” insisterer nogle blockchain-sikkerhedseksperter på, at hændelsen skal tjene som et wake-up call til alle softwareudviklere. Disse eksperter er enige om, at hændelsen validerer sikkerhedsmodellen for hardware wallets, men de advarer også om, at brugere af sådanne wallets stadig kunne miste midler til et lignende angreb under visse omstændigheder.

Augusto Teixeira, medstifter hos Cartesi, illustrerede dette punkt og sagde: “Selv hardware wallet-brugere kunne blive berørt af sådanne angreb. For eksempel bruger flere deres hardware wallets med hjælp fra Metamask uden at verificere dataene på enhedens skærm. Dette bliver mere almindeligt, efterhånden som transaktioner bliver mere indviklede, og folk blind-signerer dem. Verificering er vanskelig.”

Ifølge Teixeira mangler hardware wallets vigtige funktioner som adressebøger eller integration med JSON ABI’s, hvilket ville give brugerne bedre forståelse af, hvad de underskriver fra enhedens skærm.

Brancheomspændende implikationer og bedste praksis

NPM-hændelsen har stillet spørgsmålstegn ved de sikkerhedspraksis, der anvendes af udviklere, package managers og organisationer. Nogle i kryptobranchen mener, at det at følge bedste praksis – såsom peer review og ikke tillade udviklere at skubbe kode til produktion uden godkendelse – kan minimere sandsynligheden for et sådant angreb. Desuden argumenterer de for, at udviklere bør holde systemer opdaterede og undgå at genbruge adgangskoder.

Shahaf Bar-Geffen, medstifter og administrerende direktør hos COTI, mener, at package managers som NPM bør gøre loginprocessen mere vanskelig for en potentiel angriber. Han argumenterer for, at en “Kritisk Pakke Sikkerhedsramme,” potentielt overvåget af organer som OpenJS Foundation, “kunne kræve stærk autentifikation (2FA, scoped API tokens), reproducerbare builds og årlige tredjepartsrevisioner for pakker, der overstiger høje download-grænseværdier.” Bar-Geffen mener, at denne trininddelte verifikationsmodel ville hjælpe med at tilskynde til bedste praksis, samtidig med at man beskytter kritisk infrastruktur.

For at undgå at skulle stole på en enkelt person (som kan have særinteresser) til at afsløre ondsindet aktivitet, opfordrer Carlo Fragni, Solution Architect hos Cartesi, projekter til at holde sig opdateret på kanaler, der bruges af forskere. Han fortaler også for “at bruge afhængighedsanalyseredskaber og gennemføre due diligence på hver afhængighed, når den opdateres til en ny version.”