Ledger CTO Charles Guillemet waarschuwde maandag dat er een grootschalige software supply chain-aanval gaande is die NPM-pakketten wereldwijd binnen het JavaScript-ecosysteem target.
Ledger CTO waarschuwt voor grootschalige NPM-supply chain-aanval; dringt aan op adrescontroles
GESCHREVEN DOOR
DELEN
‘Potentieel Alle Ketens’: Ledger CTO Waarschuwing Na Hack NPM-ontwikkelaarsaccount
Ledger‘s Guillemet zei op X dat het account van een gerenommeerde ontwikkelaar op NPM was gecompromitteerd en dat getroffen pakketten meer dan 1 miljard keer zijn gedownload, wat bezorgdheid wekt over de blootstelling voor ontwikkelaars.
“Er is een grootschalige supply chain-aanval gaande… het hele JavaScript-ecosysteem kan in gevaar zijn,” schreef hij op X, toevoegend dat de kwaadaardige code “stilletjes crypto-adressen on-the-fly verwisselt om geld te stelen.”
Hij adviseerde mensen die geen hardware wallet gebruiken om voorlopig geen onchain-transacties uit te voeren, en drong er bij alle gebruikers op aan om transactiegegevens te controleren voordat ze ondertekenen. Hij zei dat het onduidelijk blijft of de aanvaller seed-phrases steelt van software wallets.
“Voor gebruikers van Ledger of andere hardware wallets met duidelijke ondertekening, loopt u geen risico,” voegde Guillemet toe, waarbij hij benadrukte dat duidelijke ondertekening en handmatige verificatie beschermen tegen malware die adressen verwisselt.
Afzonderlijke beveiligingsbronnen meldden ook aanhoudende kompromissen van NPM-accounts die veelgebruikte pakketten treffen, waarbij sommigen de campagne beschreven als een van de grootste in zijn soort tot nu toe. Guillemet zei dat de impact zich kan uitstrekken over “potentieel alle ketens.”
