CTO Ledgera Charles Guillemet ostrzegł w poniedziałek, że trwa szeroko zakrojony atak na łańcuch dostaw oprogramowania, który dotyczy pakietów NPM używanych globalnie w ekosystemie JavaScript.
CTO Ledger ostrzega przed dużym atakiem na łańcuch dostaw NPM; zaleca sprawdzanie adresów
NAPISAŁ
UDOSTĘPNIJ
„Potencjalnie Wszystkie Łańcuchy”: CTO Ledger ostrzega po zhakowaniu konta dewelopera NPM
Ledger‘s Guillemet powiedział na X, że konto NPM renomowanego dewelopera zostało skompromitowane i że dotknięte pakiety zostały pobrane ponad miliard razy, co budzi obawy o narażenie deweloperów.
„Trwa szeroko zakrojony atak na łańcuch dostaw … cały ekosystem JavaScript może być zagrożony,” napisał na X, dodając, że złośliwy kod „cicho wymienia adresy kryptowalut podczas biegu, by kraść środki.”
Zalecał ludziom, którzy nie używają portfela sprzętowego, aby na razie powstrzymali się od transakcji onchain, i zachęcał wszystkich użytkowników do przeglądania szczegółów transakcji przed jej podpisaniem. Powiedział, że wciąż nie wiadomo, czy atakujący kradną frazy seed z portfeli programowych.
„Dla użytkowników Ledger lub innych portfeli sprzętowych z wyraźnym podpisywaniem, jesteście bezpieczni,” dodał Guillemet, podkreślając, że wyraźne podpisywanie i ręczna weryfikacja chronią przed złośliwym oprogramowaniem wymieniającym adresy.
Oddzielne serwisy bezpieczeństwa również informowały o trwających kompromisach kont NPM dotyczących szeroko używanych pakietów, niektóre opisując kampanię jako jedną z największych tego typu do tej pory. Guillemet powiedział, że wpływ może obejmować „potencjalnie wszystkie łańcuchy.”
