En nylig forsyningskjedeangrep på NPM utløste kortvarig panikk i kryptomiljøet, og vekket frykt for omfattende tyveri av midler. Mens noen avfeiet utnyttelsen som mindre, understreket sikkerhetseksperter det som en vekker for utviklere.
Fra 'Kode Rød' til 'Ingentingburger': Ble NPM-eksploiten overhypet?
SKREVET AV
DEL
En ‘Ingentingburg’ Med en Vekker
Innledende rapporter om et stort forsyningskjedeangrep på JavaScript Node Package Manager (NPM) utløste en kort, men intens periode med panikk i kryptomiljøet. I noen timer grep dommedagsprofeter advarselen og spekulerte om et omfattende tyveri av brukermidler. På det tidspunktet rådet Ledgers CTO, Charles Guillemet, brukere av programvarelommebøker til å stoppe on-chain-transaksjoner og brukere av maskinvarelommebøker til å dobbelsjekke hver transaksjon.
Etter hvert som timene gikk, ble omfanget av angrepet tydeligere. Det ble avslørt at den skadelige koden var meget målrettet, og antallet berørte applikasjoner var begrenset. Fremtredende prosjekter som Uniswap, Metamask, OKX Wallet og Aave ga alle ut uttalelser som bekreftet at de ikke var berørt.
Mangelen på omfattende skade snudde raskt den innledende panikken til en debatt. Noen lettede kryptobrukere begynte å stille spørsmål ved alvorligheten av den opprinnelige advarselen, med noen som nå ser det som alarmistisk og potensielt til og med et indirekte angrep på programvarelommebøker. Dette perspektivet antyder at advarselen, selv om den fremhever en reell sårbarhet, kan ha blitt overdrevet for å fremme bruken av maskinvarelommebøker.
Mens skaden i form av stjålet krypto har fått noen til å merke utnyttelsen som en “ingentingburg,” insisterer noen blokkjedesikkerhetseksperter på at hendelsen bør fungere som en vekker for alle programvareutviklere. Disse ekspertene er enige om at hendelsen validerer sikkerhetsmodellen for maskinvarelommebøker, men de advarer også om at brukere av slike lommebøker fortsatt kan miste midler til et lignende angrep under visse omstendigheter.
Augusto Teixeira, en medgrunnlegger av Cartesi, illustrerte dette poenget ved å si, “Selv brukere av maskinvarelommebøker kan bli berørt av slike angrep. For eksempel bruker flere sin maskinvarelommebok med hjelp av Metamask, uten å verifisere dataene på enhetens skjerm. Dette blir mer vanlig ettersom transaksjoner blir mer avanserte og folk blind-signerer dem. Å verifisere er vanskelig.”
Ifølge Teixeira mangler maskinvarelommebøker viktige funksjoner som adressebøker eller integrasjon med JSON ABI’s, som ville tillate brukere å bedre forstå hva de signerer fra enhetens skjerm.
Implikasjoner og Beste Praksiser i Hele Industrien
NPM-hendelsen har stilt spørsmål ved sikkerhetspraksisene brukt av utviklere, pakkeforvaltere og organisasjoner. Noen i kryptoindustrien mener at å følge beste praksiser—som fagfellevurdering og ikke tillate utviklere å skyve kode til produksjon uten godkjenning—kan minimere sannsynligheten for et slikt angrep. I tillegg argumenterer de for at utviklere bør holde systemer oppdatert og unngå å gjenbruke passord.
Shahaf Bar-Geffen, medgrunnlegger og CEO ved COTI, mener at pakkeforvaltere som NPM bør gjøre innloggingsprosessen vanskeligere for en potensiell angriper. Han hevder at et “Kritisk Pakkesikkerhetsrammeverk,” potensielt overvåket av organer som OpenJS Foundation, “kunne mandatert sterk autentisering (2FA, scoped API tokens), reproducerbare bygg og årlige tredjepartsrevisjoner for pakker som overskrider høye nedlastingsterskler.” Bar-Geffen mener at denne tierede verifikasjonsmodellen vil bidra til å insentivere beste praksiser samtidig som den beskytter kritisk infrastruktur.
For å unngå å måtte stole på en enkelt person (som kan ha egeninteresser) til å avsløre skadelig aktivitet, oppfordrer Carlo Fragni, Løsningsarkitekt ved Cartesi, prosjekter til å holde seg oppdatert på kanaler brukt av forskere. Han går også inn for “å bruke verktøy for å analysere avhengigheter og utføre due diligence på hver avhengighet når den oppdateres til en ny versjon.”
