Ledger CTO Charles Guillemet advarte mandag om at et storstilt programvareforsyningskjedeangrep er i gang, rettet mot NPM-pakker brukt over JavaScript-økosystemet globalt.
Ledger CTO advarer om omfattende NPM-forsyningskjedeangrep; oppfordrer til adressekontroller
SKREVET AV
DEL
‘Potensielt alle kjeder’: Ledger CTO advarer etter at NPM-utviklerkonto ble hacket
Ledgers Guillemet sa på X at en anerkjent utviklers NPM-konto var kompromittert, og at berørte pakker har blitt lastet ned mer enn 1 milliard ganger, noe som øker eksponeringsbekymringer for utviklere.
“Det er et storstilt forsyningskjedeangrep i gang … hele JavaScript-økosystemet kan være i fare,” skrev han på X, og la til at den skadelige koden “stille bytter kryptoadresser underveis for å stjele midler.”
Han rådet folk som ikke bruker en maskinvarelommebok til å avstå fra å gjøre onchain-transaksjoner akkurat nå, og oppfordret alle brukere til å gjennomgå transaksjonsdetaljer før signering. Han sa at det fortsatt er uklart om angriperen stjeler frøfraser fra programvarelommebøker.
“For brukere av Ledger eller andre maskinvarelommebøker med tydelig signering, er du ikke i fare,” la Guillemet til, og understreket at tydelig signering og manuell verifikasjon beskytter mot adressebyttende skadevare.
Separate sikkerhetskilder rapporterte også om pågående kompromisser av NPM-kontoer som påvirker mye brukte pakker, med noen som beskriver kampanjen som en av de største av sitt slag til dags dato. Guillemet sa at effekten kan strekke seg over “potensielt alle kjeder.”
