CTO Ledger Charles Guillemet memberi amaran pada hari Isnin bahawa serangan rantaian bekalan perisian berskala besar sedang berlangsung mensasarkan pakej NPM yang digunakan di seluruh ekosistem JavaScript di seluruh dunia.
Ketua Pegawai Teknikal Ledger Memberi Amaran Mengenai Serangan Rantaian Bekalan NPM Berskala Besar; Menggesa Semakan Alamat
DITULIS OLEH
KONGSI
‘Potensi Semua Rantai’: CTO Ledger Berhati-hati Selepas Akaun Pembangun NPM Digodam
Ledger‘s Guillemet berkata di X bahawa akaun NPM seorang pembangun yang dipercayai telah dikompromikan dan pakej yang terjejas telah dimuat turun lebih daripada 1 bilion kali, meningkatkan kebimbangan pendedahan untuk pembangun.
“Ada serangan rantaian bekalan berskala besar yang sedang berlangsung … seluruh ekosistem JavaScript mungkin berisiko,” dia menulis di X, menambah bahawa kod jahat “secara senyap menukar alamat crypto secara langsung untuk mencuri dana.”
Dia menasihatkan orang yang tidak menggunakan dompet keras untuk menahan diri daripada membuat transaksi onchain buat masa ini, dan menggesa semua pengguna untuk menyemak butiran transaksi sebelum menandatangani. Dia berkata masih tidak jelas sama ada penyerang mencuri frasa benih dari dompet perisian.
“Bagi pengguna Ledger atau dompet keras lain dengan penandatanganan yang jelas, anda tidak berisiko,” tambah Guillemet, menekankan bahawa penandatanganan yang jelas dan pengesahan manual melindungi daripada perisian hasad penukaran alamat.
Saluran keselamatan yang berasingan juga melaporkan kompromi akaun NPM yang sedang berlangsung yang menjejaskan pakej yang digunakan secara meluas, dengan beberapa menggambarkan kempen ini sebagai salah satu yang terbesar seumpamanya hingga kini. Guillemet berkata kesannya boleh merangkumi “potensi semua rantai.”
