צ’ארלס גיום, CTO של Ledger, הזהיר ביום שני מפני מתקפת שרשרת אספקה רחבת היקף המתמקדת בחבילות NPM המשמשות ברחבי אקוסיסטם ה-JavaScript עולמית.
CTO של לדג'ר מזהיר מפני התקפת שרשרת אספקה רחבת היקף על NPM; קורא לבדוק כתובות
נכתב ע"י
שתף
‘פוטנציאלית כל השרשראות’: ה-CTO של Ledger מזהיר לאחר שנפרץ חשבון מפתח של NPM
גיום של Ledger אמר ב-X שחשבון NPM של מפתח מכובד נפרץ וחבילות מושפעות הורדו יותר ממיליארד פעמים, מה שמעורר דאגה לגבי חשיפה של מפתחים.
“מתקפת שרשרת אספקה רחבת היקף מתרחשת כעת… אקוסיסטם ה-JavaScript כולה עשויה להיות בסיכון,” הוא כתב ב-X, והוסיף שהקוד הזדוני “משנה כתובות קריפטו בשקט כדי לגנוב כספים.”
הוא יעץ למי שלא משתמש בארנק חומרה להימנע מהעברת עסקאות ברשת כרגע, והמליץ לכל המשתמשים לבדוק את פרטי העסקה לפני החתימה. הוא ציין שעדיין לא ברור אם התוקף גונב ביטויי סיד מארנקי תוכנה.
“עבור משתמשי Ledger או ארנקי חומרה אחרים עם חתימה ברורה, אינכם בסיכון,” הוסיף גיום, והדגיש שחתימה ברורה ואימות ידני מגנים מפני תוכנות זדוניות שמחליפות כתובות.
יציאות אבטחה נפרדות דיווחו גם על פריצות לחשבונות NPM שמשפיעות על חבילות בשימוש נרחב, כאשר חלקם תיארו את הקמפיין כאחד הגדולים ביותר עד כה. גיום אמר שההשפעה יכולה להתפרס “פוטנציאלית על כל השרשראות.”
