From 'Koodipunaiseen' 'Mitäpä tuosta': Oliko NPM-haavoittuvuus yliarvostettu?

‘Mitätön’ Herätyshuudolla

Alkuperäiset raportit laajasta JavaScript Node Package Manager (NPM) toimitusketjuhyökkäyksestä laukaisivat lyhyen mutta intensiivisen paniikkiaallon kryptoyhteisössä. Muutaman tunnin ajan pessimistit tarttuivat varoitukseen, spekuloiden käyttäjävarojen laajamittaisella varkaudella. Tuolloin Ledger:in teknologiajohtaja Charles Guillemet neuvoi ohjelmistolompakoiden käyttäjiä lopettamaan lohkoketjutapahtumat ja laitteistolompakoiden käyttäjiä tarkistamaan jokaisen tapahtuman.

Kuitenkin, tuntien kuluessa hyökkäyksen suurusluokka tuli selkeämmin esiin. Paljastui, että haittakoodi oli erittäin kohdennettu, ja vaikutuksen alaisia sovelluksia oli rajoitetusti. Tunnetut projektit kuten Uniswap, Metamask, OKX Wallet ja Aave julkaisivat lausuntoja, joiden mukaan heihin ei ollut kohdistunut hyökkäystä.

Laajan vahingon puute muutti alkuperäisen paniikin nopeasti keskusteluksi. Joidenkin helpottuneiden kryptokäyttäjien alkoi kyseenalaistaa alkuperäisen varoituksen vakavuutta, monet pitävät sitä nyt pelotteluna ja jopa epäsuorana hyökkäyksenä ohjelmistolompakoita vastaan. Tämä näkökulma viittaa siihen, että varoitus, vaikka korostaa todellista haavoittuvuutta, on saatettu liioitella laitteistolompakoiden edistämiseksi.

Vaikka varkaus varastetun krypton osalta on saanut jotkut leimaamaan hyökkäyksen “mitättömäksi,” jotkut lohkoketjun turvallisuusasiantuntijat vaativat, että tapaus tulisi toimia herätyksenä kaikille ohjelmistokehittäjille. Nämä asiantuntijat myöntävät, että tapaus vahvistaa laitteistolompakoiden turvallisuusmallia, mutta varoittavat, että myös näiden lompakoiden käyttäjät voisivat silti menettää varojaan samankaltaisessa hyökkäyksessä tietyissä olosuhteissa.

Augusto Teixeira, Cartesiin toinen perustaja, havainnollisti tätä, todeten: “Jopa laitteistolompakon käyttäjät voisivat joutua tällaisen hyökkäyksen kohteeksi. Esimerkiksi monet ihmiset käyttävät laitteistolompakoitaan Metamaskin avustuksella, tarkistamatta tietoja laitteen näytöltä. Tämä on yleistymässä, kun tapahtumat monimutkaistuvat ja ihmiset allekirjoittavat ne sokkona. Tarkistaminen on vaikeaa.”

Teixeiran mukaan laitteistolompakoista puuttuu tärkeitä ominaisuuksia kuten osoitekirjat tai integraatio JSON ABI:n kanssa, mikä auttaisi käyttäjiä ymmärtämään paremmin, mitä he ovat allekirjoittamassa laitteen näytöltä.

Toimialan Laajuiset Vaikutukset ja Parhaat Käytännöt

NPM-tapaus on kyseenalaistanut kehittäjien, pakettienhallitsijoiden ja organisaatioiden käyttämät turvallisuuskäytännöt. Jotkut kryptoteollisuudessa uskovat, että noudattamalla parhaita käytäntöjä—kuten vertaisarviointia ja estämällä kehittäjiä lataamasta koodia tuotantoon ilman hyväksyntää—voidaan minimoida tällaisen hyökkäyksen todennäköisyys. Lisäksi he väittävät, että kehittäjien tulisi pitää järjestelmät ajan tasalla ja välttää salasanojen uudelleenkäyttöä.

Shahaf Bar-Geffen, COTI:n toinen perustaja ja toimitusjohtaja, uskoo että pakettienhallitsijoiden kuten NPM:n tulisi tehdä kirjautumisprosessista vaikeampi hyökkääjälle. Hän väittää, että “Kriittinen Pakettien Turvallisuuskehys,” mahdollisesti OpenJS Foundationin valvonnassa, “voisi määrätä vahvan todennuksen (2FA, laajennetut API-tunnukset), toistettavat rakennelmat ja vuotuiset kolmannen osapuolen auditoinnit paketeille, jotka ylittävät korkeat latauskynnykset.” Bar-Geffen uskoo, että tämä tasomallinen varmennusmalli auttaisi kannustamaan parhaita käytäntöjä samalla suojaten kriittistä infrastruktuuria.

Välttääkseen luottamasta yhteen henkilöön (jolla voi olla omat intressit) paljastamaan haitallista toimintaa, Carlo Fragni, Cartesin ratkaisuarkkitehti, rohkaisee projekteja pysymään kuulolla tutkijoiden käyttämissä kanavissa. Hän myös suosittelee “käyttämään riippuvuusanalyysityökaluja ja suorittamaan huolellisuus jokaisessa riippuvuudessa aina kun sitä päivitetään uuteen versioon.”