'कोड रेड' से 'नथिंगबर्गर' तक: क्या NPM एक्सप्लॉइट को जरूरत से ज्यादा बढ़ा-चढ़ाकर पेश किया गया?

एक ‘नथिंगबर्गर’ के साथ चेतावनी

एक बड़े पैमाने पर जावास्क्रिप्ट नोड पैकेज मैनेजर (एनपीएम) सप्लाई-चेन हमले की प्रारंभिक रिपोर्टों ने क्रिप्टो समुदाय के भीतर थोड़ी देर के लिए अफरा-तफरी पैदा कर दी। कुछ घंटों के लिए, भाग्यविधाता इस चेतावनी को लेकर चिंतित हो गए, उपयोगकर्ता निधियों की व्यापक चोरी के बारे में अटकलें लगाई गईं। उस समय, लेजर के सीटीओ, चार्ल्स गिल्मे, ने सलाह दी कि सॉफ्टवेयर वॉलेट उपयोगकर्ता ऑन-चेन लेनदेन को रोक दें और हार्डवेयर वॉलेट उपयोगकर्ता हर लेनदेन को दोबारा जांचें।

हालांकि, जैसे-जैसे समय बीता, हमले का परिमाण स्पष्ट हो गया। यह पता चला कि दुर्भावनापूर्ण कोड अत्यधिक लक्षित था, और प्रभावित अनुप्रयोगों की संख्या सीमित थी। यूनिस्वैप, मेटामास्क, ओकेएक्स वॉलेट और आव जैसे प्रमुख परियोजनाएं सभी ने बयान जारी किया कि वे प्रभावित नहीं थे।

व्यापक क्षति की कमी ने जल्दी ही प्रारंभिक चिंता को बहस में बदल दिया। कुछ राहत महसूस कर रहे क्रिप्टो उपयोगकर्ताओं ने मूल चेतावनी की गंभीरता पर सवाल उठाना शुरू कर दिया, कुछ लोग अब इसे अलार्मिस्ट और संभावित रूप से सॉफ्टवेयर वॉलेट्स पर अप्रत्यक्ष हमले के रूप में देख रहे हैं। इस दृष्टिकोण का सुझाव है कि चेतावनी, जबकि एक वास्तविक कमजोरी को उजागर किया, शायद हार्डवेयर वॉलेट्स के उपयोग को बढ़ावा देने के लिए बढ़ा चढ़ाकर दी गई थी।

जहां तक चोरी की गई क्रिप्टो का सवाल है, कुछ ने इस कारनामे को “नथिंगबर्गर” बताया है, लेकिन कुछ ब्लॉकचेन सुरक्षा विशेषज्ञ जोर देते हैं कि यह घटना सभी सॉफ्टवेयर डेवलपर्स के लिए एक चेतावनी के रूप में काम करनी चाहिए। ये विशेषज्ञ सहमत हैं कि यह घटना हार्डवेयर वॉलेट्स की सुरक्षा मॉडल को मान्यता देती है, लेकिन वे यह भी चेतावनी देते हैं कि ऐसे वॉलेट्स के उपयोगकर्ता अभी भी कुछ परिस्थितियों में समान हमले से धन खो सकते हैं।

कार्टेसी के सह-संस्थापक ऑगस्टो टेक्सेइरा ने इस बात को स्पष्ट करते हुए कहा, “यहां तक कि हार्डवेयर वॉलेट उपयोगकर्ता भी ऐसे हमले से प्रभावित हो सकते हैं। उदाहरण के लिए, कई लोग अपने हार्डवेयर वॉलेट्स का उपयोग मेटामास्क की मदद से करते हैं, बिना डिवाइस की स्क्रीन पर डाटा जांचे। यह अधिक आम होता जा रहा है जब लेनदेन अधिक विस्तृत होते जा रहे हैं और लोग उन्हें अंधाधुंध हस्ताक्षरित कर रहे हैं। सत्यापन कठिन है।”

टेक्सेइरा के अनुसार, हार्डवेयर वॉलेट्स में पता पुस्तिकाओं या JSON ABI’s के साथ एकीकरण जैसी महत्वपूर्ण विशेषताएं नहीं होती हैं, जो उपयोगकर्ताओं को डिवाइस की स्क्रीन से क्या हस्ताक्षर कर रहे हैं, इसे बेहतर ढंग से समझने की अनुमति देगा।

उद्योग-व्यापी निहितार्थ और सर्वोत्तम प्रथाएँ

एनपीएम घटना ने डेवलपर्स, पैकेज प्रबंधकों और संगठनों द्वारा उपयोग की जाने वाली सुरक्षा प्रथाओं पर सवाल खड़े कर दिए हैं। कुछ क्रिप्टो उद्योग में मानते हैं कि सर्वोत्तम प्रथाओं का पालन करना—जैसे कि सहकर्मी समीक्षा और डेवलपर्स को उत्पादन में कोड पुश करने की अनुमति नहीं देना बिना अनुमोदन के—ऐसे हमले की संभावना को कम कर सकते हैं। इसके अलावा, वे तर्क देते हैं कि डेवलपर्स को सिस्टम को अद्यतन रखना चाहिए और पासवर्ड को पुनः उपयोग करने से बचना चाहिए।

शहाफ बार-जॉफेन, सह-संस्थापक और सीईओ, COTI में, मानते हैं कि एनपीएम जैसे पैकेज प्रबंधकों को एक संभावित हमलावर के लिए साइन-इन प्रक्रिया को और अधिक कठिन बनाना चाहिए। उन्होंने तर्क दिया कि “क्रिटिकल पैकेज सिक्योरिटी फ्रेमवर्क,” संभावित रूप से OpenJS फाउंडेशन जैसे निकायों द्वारा पर्यवेक्षित, “मजबूत प्रमाणीकरण (2एफए, स्कोप्ड एपीआई टोकन), पुनरुत्पादनीय निर्माणों, और उच्च डाउनलोड सीमा से अधिक करने वाले पैकेज के लिए वार्षिक थर्ड-पार्टी ऑडिट को अनिवार्य कर सकते हैं।” बार-जॉफेन मानते हैं कि यह स्तरीकृत सत्यापन मॉडल सर्वोत्तम प्रथाओं के लिए प्रोत्साहन देने में मदद करेगा जबकि महत्वपूर्ण बुनियादी ढांचे की रक्षा करेगा।

एकल व्यक्ति (जो कि स्वार्थ संबंध हो सकता है) पर दुर्भावनापूर्ण गतिविधि को उजागर करने के लिए निर्भर होने से बचने के लिए, कार्लो फ्रागनी, समाधान आर्किटेक्ट कार्टेसी में, परियोजनाओं को शोधकर्ताओं द्वारा उपयोग किए गए चैनलों के प्रति सतर्क रहने को प्रोत्साहित करते हैं। वह यह भी सलाह देते हैं कि “निर्भरता विश्लेषण टूल का उपयोग करने और अपनी निर्भरता पर परिश्रम करने के लिए जब भी इसे एक नए संस्करण के लिए अद्यतन किया जाता है।”