Od 'Code Red' do 'Nothingburger': Je li eksploatacija NPM-a bila prenapuhana?

‘Nevažna stvar’ s pozivom na buđenje

Početna izvješća o velikom napadu na opskrbni lanac JavaScript Node Package Manager (NPM) izazvala su kratak, ali intenzivan period panike unutar kripto zajednice. Nekoliko sati katastrofičari su iskoristili upozorenje, špekulirajući o široko rasprostranjenoj krađi korisničkih sredstava. U to vrijeme, Ledger CTO, Charles Guillemet, savjetovao je korisnicima softverskih novčanika da prestanu s transakcijama na lancu, a korisnicima hardverskih novčanika da dvostruko provjere svaku transakciju.

Međutim, kako su sati prolazili, činjenica o napadu postajala je jasnija. Otkriveno je da je zlonamjerni kod bio visoko ciljan, a broj pogođenih aplikacija ograničen. Istaknuti projekti poput Uniswap, Metamask, OKX Wallet i Aave, svi su objavili izjave kojima potvrđuju da nisu pogođeni.

Nedostatak opsežnih šteta brzo je pretvorio početnu paniku u raspravu. Neki olakšani korisnici kripta počeli su preispitivati ozbiljnost prvotnog upozorenja, a neki ga sada smatraju alarmantnim i potencijalno čak indirektnim napadom na softverske novčanike. Ovo stajalište sugerira da je upozorenje, dok ističe stvarnu ranjivost, možda bilo preuveličano kako bi se promovirala uporaba hardverskih novčanika.

Dok su štete u smislu ukradenog kripta dovele neke do toga da eksploataciju nazivaju “nevažnom stvari,” neki stručnjaci za sigurnost blockchaina inzistiraju da bi incident trebao poslužiti kao poziv na buđenje za sve softverske programere. Ti stručnjaci se slažu da incident potvrđuje sigurnosni model hardverskih novčanika, ali također upozoravaju da bi korisnici takvih novčanika i dalje mogli izgubiti sredstva u sličnom napadu pod određenim okolnostima.

Augusto Teixeira, suosnivač u Cartesi, ilustrovao je ovu točku izjavom: “Čak bi i korisnici hardverskih novčanika mogli biti pogođeni takvim napadima. Na primjer, nekoliko ljudi koristi svoje hardverske novčanike uz pomoć Metamaske, bez provjere podataka na zaslonu uređaja. Ovo postaje sve češće kako transakcije postaju složenije i ljudi ih potpisuju naslijepo. Provjera je teška.”

Prema Teixeiri, hardverskim novčanicima nedostaju važna obilježja poput adresara ili integracije s JSON ABI-ima, što bi omogućilo korisnicima bolje razumijevanje toga što potpisuju s ekrana uređaja.

Implikacije i najbolje prakse za cijelu industriju

NPM incident doveo je u pitanje sigurnosne prakse koje koriste programeri, upravitelji paketa i organizacije. Neki u kripto industriji vjeruju da slijedeći najbolje prakse—kao što su vršnjačka recenzija i ne dopuštanje programerima da ubace kod u proizvodnju bez odobrenja—može smanjiti vjerojatnost takvog napada. Osim toga, oni tvrde da bi programeri trebali ažurirati sustave i izbjegavati ponovno korištenje lozinki.

Shahaf Bar-Geffen, suosnivač i CEO u COTI, vjeruje da bi upravitelji paketa poput NPM-a trebali otežati prijavu potencijalnom napadaču. On tvrdi da bi “Okvir za sigurnost kritičnih paketa,” potencijalno pod nadzorom tijela kao što je OpenJS Foundation, “mogao zahtijevati snažnu autentifikaciju (2FA, ograničeni API tokeni), ponovno izgradive izrade, i godišnje audite treće strane za pakete koji premašuju visoke preuzete pragove.” Bar-Geffen vjeruje da bi ovaj složeni model verifikacije pomogao potaknuti najbolje prakse uz zaštitu kritične infrastrukture.

Kako bi se izbjeglo oslanjanje na jednu osobu (koja može imati vlastite interese) za izlaganje zlonamjerne aktivnosti, Carlo Fragni, arhitekt rješenja u Cartesi, potiče projekte da budu u toku s kanalima koje koriste istraživači. Također zagovara “korištenje alata za analizu ovisnosti i provođenje dubinske analize za svaku ovisnost svaki put kad se ažurira na novu verziju.”