"Code Redist" kuni "Eimiskiburgerini": Kas NPM-i haavatavus oli ülehinnatud?

‘Ei Midagi’ Äratuskellaga

Algsed teated suuremahulise JavaScripti NPM tarnijateahela rünnaku kohta vallandasid krüptokogukonnas lühikese, kuid intensiivse paanika. Mõne tunni vältel haarasid katastroofikuulutajad hoiatusest kinni, spekuleerides kasutajate rahaliste vahendite laialdase varguse üle. Sel ajal Ledgeri CTO Charles Guillemet soovitas tarkvaralise rahakottide kasutajatel lõpetada tehingud blokis ja riistvaralise rahakottide kasutajatel iga tehingut topelt kontrollida.

Ent tundide möödudes sai selgemaks rünnaku ulatus. Selgus, et pahatahtlik kood oli väga sihitud ja mõjutatud rakenduste arv oli piiratud. Tuntud projektid nagu Uniswap, Metamask, OKX Wallet ja Aave kinnitasid avalikult, et neid ei ole see mõjutanud.

Kahju puudumine muutis esialgse paanika kiiresti aruteluks. Mõned kergendust tundvad krüptokasutajad hakkasid kahtluse alla seadma algse hoiatuse tõsidust, pidades seda nüüd alarmistlikuks ja potentsiaalselt isegi kui kaudseks rünnakuks tarkvaraliste rahakottide vastu. See perspektiiv viitab sellele, et hoiatus, kuigi see tõi esile tõelise haavatavuse, võis olla liialdatud, et propageerida riistvaraliste rahakottide kasutamist.

Kuigi krüptovarguse ulatus on pannud mõned nimetama seda ärakasutamist “ei Millekski”, nõuavad mõned blokiketi turvaeksperdid, et juhtum peaks olema äratuskell kõigile tarkvaraarendajatele. Need eksperdid on ühel meelel, et juhtum kinnitab riistvaraliste rahakottide turvamudelit, kuid nad hoiatavad ka, et selliste rahakottide kasutajad võivad teatud tingimustel siiski sarnase rünnaku all rahast ilma jääda.

Augusto Teixeira, Cartesi kaasasutaja, illustreeris seda punkti, öeldes: “Isegi riistvaralise rahakottide kasutajad võivad selliste rünnakute poolt mõjutatud olla. Näiteks kasutavad mitmed inimesed oma riistvaralisi rahakotte Metamaski abiga, ilma et nad kontrolliksid andmeid seadme ekraanil. See muutub aina tavalisemaks, kui tehingud muutuvad keerukamaks ja inimesed allkirjastavad neid pimesi. Kontrollimine on keeruline.”

Teixeira sõnul puuduvad riistvaralistel rahakottidel olulised funktsioonid, nagu aadressiraamatud või integreerimine JSON ABI-dega, mis võimaldaksid kasutajatel paremini aru saada, mida nad seadme ekraanilt allkirjastavad.

Tööstuse Laiemad Mõjud ja Parimad Tavad

NPM-i juhtum on seadnud kahtluse alla arendajate, pakihaldurite ja organisatsioonide kasutatavad turvameetmed. Mõned krüptotööstuses usuvad, et parimate tavade järgimine—nagu eakaaslaste ülevaatamine ja arendajatel mitte lasta koodi tootmisse lükata ilma heakskiiduta—võivad vähendada sellise rünnaku tõenäosust. Lisaks väidavad nad, et arendajad peaksid hoidma süsteemid ajakohastena ja hoiduma paroolide taaskasutamisest.

Shahaf Bar-Geffen, COTI kaasasutaja ja tegevjuht, usub, et pakihaldurid nagu NPM peaksid sisselogimisprotsessi raskendama võimaliku ründaja jaoks. Ta väidab, et “Kriitilise Paki Turvaraamistik,” mida võiks potentsiaalselt juhtida asutused nagu OpenJS Foundation, “võiks nõuda tugevat autentimist (2FA, ulatuslikud API-tokeneid), taastoodetavaid ehitusi ja iga-aastast kolmanda osapoole auditeid pakettide kohta, mille allalaadimiskünnis on kõrge.” Bar-Geffen usub, et see astmeline kinnituse mudel aitaks ergutada parimate tavade järgimist, kaitstes samal ajal kriitilist infrastruktuuri.

Et mitte sõltuda ühest inimesest (kellel võivad olla erahuvid) pahatahtliku tegevuse paljastamiseks, soovitab Carlo Fragni, Cartesi lahenduste arhitekt, projektidel hoida end kursis uurijate kasutatavate kanalitega. Ta soovitab ka “kasutada sõltuvuse analüüsi tööriistu ning teostada igakordse uuendamise korral iga sõltuvuse suhtes hoolikalt järelevalvet.”