چارلز گیومه، مدیر فناوری لجر، روز دوشنبه هشدار داد که یک حمله بزرگ به زنجیره تأمین نرمافزار در حال انجام است که هدف آن بستههای NPM مورد استفاده در سراسر اکوسیستم جاوا اسکریپت به صورت جهانی است.
مدیر ارشد فناوری لجر درباره حمله زنجیره تأمین NPM در مقیاس بزرگ هشدار میدهد؛ درخواست بررسی آدرسها را دارد
نویسنده
اشتراک
‘احتمالاً همه زنجیرهها’: مدیر فناوری لجر پس از هک شدن حساب توسعهدهنده NPM هشدار داد
گیومه لجر در X گفت که حساب NPM یکی از توسعهدهندگان مشهور به خطر افتاده است و بستههای آسیبدیده بیش از ۱ میلیارد بار دانلود شدهاند، که نگرانیهایی برای توسعهدهندگان برانگیخته است.
«یک حمله بزرگ به زنجیره تأمین در حال انجام است … کل اکوسیستم جاوا اسکریپت ممکن است در خطر باشد،» او در X نوشت و افزود که کد مخرب «به صورت مخفیانه آدرسهای کریپتو را تغییر میدهد تا وجوه را سرقت کند.»
او به افرادی که از کیف پولهای سختافزاری استفاده نمیکنند توصیه کرد که فعلاً از انجام تراکنشهای زنجیرهای خودداری کنند و از همه کاربران خواست تا جزئیات تراکنشها را قبل از امضا بررسی کنند. وی گفت هنوز مشخص نیست که آیا حملهکننده عبارات بازیابی را از کیف پولهای نرمافزاری سرقت میکند یا خیر.
«برای کاربران لجر یا سایر کیف پولهای سختافزاری با امضای شفاف، شما در خطر نیستید،» گیومه افزود و تأکید کرد که امضای شفاف و تأیید دستی از نرمافزارهای تغییر آدرس محافظت میکند.
رسانههای امنیتی جداگانه نیز از مصائب حسابهای NPM که بستههای گستردهای را تحت تأثیر قرار میدهند گزارش دادهاند، با برخی که این کمپین را یکی از بزرگترین نوع خود توصیف کردهاند. گیومه گفت که اثر ممکن است «احتمالاً همه زنجیرهها» را تحت پوشش قرار دهد.
