Ledger CTO Charles Guillemet advarede mandag om, at et storstilet softwareforsyningskædeangreb er i gang, der retter sig mod NPM-pakker, som bruges i JavaScript-økosystemet globalt.
Ledger CTO advarer om storstilet NPM forsyningskædeangreb; opfordrer til adressekontrol
SKREVET AF
DEL
‘Potentielt Alle Kæder’: Ledger CTO Advarer Efter NPM Udviklerkonto Hacket
Ledgers Guillemet sagde på X, at en velrenommeret udviklers NPM-konto var blevet kompromitteret, og at de berørte pakker er blevet downloadet mere end 1 milliard gange, hvilket øger eksponering bekymringer for udviklere.
“Der er et storstilet forsyningskædeangreb i gang … hele JavaScript-økosystemet kan være i fare,” skrev han på X og tilføjede, at den skadelige kode “stille ombytter krypto-adresser i farten for at stjæle midler.”
Han rådede folk, der ikke bruger en hardware wallet, til at afholde sig fra at lave onchain-transaktioner indtil videre, og opfordrede alle brugere til at gennemgå transaktionsdetaljer før underskrivelse. Han sagde, at det fortsat er uklart, om angriberen stjæler seed-fra sætninger fra software wallets.
“For brugere af Ledger eller andre hardware wallets med klar underskrivelse, er I ikke i fare,” tilføjede Guillemet og understregede, at klar underskrivelse og manuel verifikation beskytter mod adresse-udskiftende malware.
Separate sikkerhedskanaler rapporterede også om igangværende NPM-konto kompromitteringer, der påvirker bredt anvendte pakker, hvor nogle beskriver kampagnen som en af de største af sin art til dato. Guillemet sagde, at virkningen kunne omfatte “potentielt alle kæder.”
