Ledgeri tehnoloogiajuht Charles Guillemet hoiatas esmaspäeval, et ülemaailmselt on käimas laiaulatuslik tarkvara varustusketi rünnak, mis on suunatud JavaScripti ökosüsteemis kasutatavatele NPM pakettidele.
Ledger CTO hoiatab suuremahulise NPM-i tarneahela rünnaku eest; kutsub üles kontrollima aadresse
KIRJUTAS
JAGA
‘Võimalikult Kõik Ahelad’: Ledgeri CTO Hoiatab Pärast NPM-i Arendajakonto Häkkerdamist
Ledgeri Guillemet ütles X-is, et maineka arendaja NPM-i konto kompromiteeriti ja mõjutatud pakette on alla laaditud rohkem kui miljard korda, tekitades arendajate seas muresid kokkupuute kohta.
„On käimas suuremahuline varustusketi rünnak … kogu JavaScripti ökosüsteem võib olla ohus,“ kirjutas ta X-is, lisades, et pahatahtlik kood „vahetab vaikselt krüpto aadresse, et varastada raha.“
Ta soovitas riistvaralise rahakoti kasutajatel hetkel onchain tehingutest hoiduda ja kutsus kõiki kasutajaid üles tehingu üksikasju enne allkirjastamist üle vaatama. Ta ütles, et pole veel selge, kas ründaja varastab tarkvaraliste rahakottide seemnefraase.
„Ledgeri või muude riistvaraliste rahakottide kasutajatele, kes kasutavad selget allkirjastamist, ei ole ohtu,“ lisas Guillemet, rõhutades, et selge allkirjastamine ja käsitsi kontrollimine kaitsevad aadressivahetuse pahavara eest.
Eraldid turbeväljaanded teatasid ka NPM-i kontode kompromiteerimisest, mis mõjutab laialdaselt kasutatavaid pakette, ning mõned kirjeldasid kampaaniat kui ühte suurimat omataolist seni. Guillemet ütles, et mõju võib ulatuda „võimalikult kõikide ahelateni.“
