Charles Guillemet, a Ledger technológiai igazgatója hétfőn figyelmeztetett, hogy egy nagyszabású szoftverellátási lánc elleni támadás van folyamatban, amely az egész JavaScript ökoszisztémában világszerte használt NPM csomagokat célozza.
Ledger CTO figyelmeztet egy nagyszabású NPM ellátási lánc támadásra; Javasolja a cím ellenőrzését
ÍRTA
MEGOSZTÁS
„Potenciálisan Minden Lánc”: A Ledger technológiai igazgatója figyelmeztet, miután NPM fejlesztői fiókot törtek fel
Ledger Guillemet megjegyezte az X-en, hogy egy neves fejlesztő NPM fiókját feltörték, és az érintett csomagokat több mint 1 milliárd alkalommal töltötték le, ami kockázatokat jelent a fejlesztők számára.
„Egy nagyszabású ellátási lánc elleni támadás folyamatban van … az egész JavaScript ökoszisztéma veszélyben lehet,” írta az X-en, hozzátéve, hogy a rosszindulatú kód „csendben átkapcsolja a kriptocímeket a tranzakciók közben, hogy ellopja az alapokat.”
Azt tanácsolta azoknak, akik nem használnak hardvertárcát, hogy egyelőre kerüljék az onchain tranzakciókat, és minden felhasználót arra ösztönzött, hogy nézzék át a tranzakciós részleteket aláírás előtt. Azt mondta, hogy még nem tisztázott, vajon a támadó szoftvertárcákból lop-e ki magcsomagokat.
„A Ledger vagy más hardvertárcák világos aláírással rendelkező felhasználói nincsenek veszélyben,” tette hozzá Guillemet, hangsúlyozva, hogy a világos aláírás és a manuális ellenőrzés védelmet nyújt a címcserélő kártevők ellen.
Különböző biztonsági források is jelentették a jelenlegi NPM fiókok feltörését, amely számos széles körben használt csomagot érint, némelyek a kampányt az eddigi egyik legnagyobbnak nevezik. Guillemet szerint a hatás „potenciálisan minden láncra” kiterjedhet.
