Charles Guillemet, CTO-ul Ledger, a avertizat luni că un atac de mare amploare asupra lanțului de aprovizionare software este în desfășurare, vizând pachetele NPM utilizate în întregul ecosistem JavaScript la nivel global.
Directorul Tehnic al Ledger avertizează despre un atac la scară largă asupra lanțului de aprovizionare NPM; recomandă verificări ale adreselor.
SCRIS DE
DISTRIBUIE
„Potential Toate Lanțurile”: CTO-ul Ledger Avertizează După Ce Un Cont de Dezvoltator NPM A Fost Compromis
Ledger‘s Guillemet a spus pe X că un cont de NPM al unui dezvoltator de renume a fost compromis și că pachetele afectate au fost descărcate de peste 1 miliard de ori, ridicând îngrijorări cu privire la expunerea dezvoltatorilor.
„Există un atac de mare amploare asupra lanțului de aprovizionare în desfășurare … întregul ecosistem JavaScript poate fi în pericol,” a scris pe X, adăugând că codul malițios „schimbă în mod silentios adresele crypto în timp real pentru a fura fonduri.”
El a sfătuit oamenii care nu folosesc un portofel hardware să se abțină de la efectuarea tranzacțiilor onchain momentan și a îndemnat toți utilizatorii să revizuiască detaliile tranzacțiilor înainte de a semna. El a spus că rămâne neclar dacă atacatorul fură fraze seed din portofelele software.
„Pentru utilizatorii de Ledger sau alte portofele hardware cu semnare clară, nu sunteți în pericol,” a adăugat Guillemet, subliniind că semnarea clară și verificarea manuală protejează împotriva malware-ului de schimbare a adresei.
Canale de securitate separate au raportat, de asemenea, compromiteri ale conturilor NPM în curs, afectând pachete utilizate pe scară largă, unele descriind campania ca fiind una dintre cele mai mari de acest fel de până acum. Guillemet a spus că impactul ar putea să acopere „potențial toate lanțurile.”
