От «Красного кода» до «Пустышки»: Был ли эксплуатация NPM чрезмерно раздута?

Пустышка с звоночком

Первоначальные сообщения о крупномасштабной атаке на цепочку поставок JavaScript Node Package Manager (NPM) вызвали кратковременную, но интенсивную панику в криптосообществе. В течение нескольких часов паникеры воспользовались предупреждением, спекулируя о массовом хищении пользовательских средств. В то время технический директор Ledger, Шарль Гийеме, посоветовал пользователям программных кошельков прекратить транзакции на блокчейне, а пользователям аппаратных кошельков — проверять каждую транзакцию.

Однако со временем масштаб атаки стал более ясным. Было выяснено, что вредоносный код был очень целенаправленным, и количество затронутых приложений было ограничено. Известные проекты, такие как Uniswap, Metamask, OKX Wallet и Aave, выпустили заявления, подтверждающие, что они не были затронуты.

Отсутствие широкомасштабного ущерба быстро превратило первоначальную панику в дебаты. Некоторые облегченные пользователи криптовалют начали сомневаться в серьезности первоначального предупреждения, а некоторые сейчас считают его паническим и, возможно, даже косвенной атакой на программные кошельки. Эта точка зрения предполагает, что предупреждение, несмотря на то, что оно указывало на реальную уязвимость, могло быть преувеличено для продвижения использования аппаратных кошельков.

Хотя ущерб в виде украденной криптовалюты побудил некоторых назвать эксплойт “пустышкой”, некоторые эксперты по безопасности блокчейнов настаивают на том, что инцидент должен стать звоночком для всех разработчиков программного обеспечения. Эти эксперты согласны, что инцидент подтверждает модель безопасности аппаратных кошельков, однако предупреждают, что пользователи таких кошельков все еще могут потерять средства в результате аналогичной атаки при определенных обстоятельствах.

Аугусто Тейшейра, сооснователь Cartesi, иллюстрирует эту точку зрения, заявляя: “Даже пользователи аппаратных кошельков могут быть затронуты такими атаками. Например, многие используют свои аппаратные кошельки с помощью Metamask, не проверяя данные на экране устройства. Это становится более распространенным, поскольку транзакции становятся более сложными, а люди слепо их подписывают. Проверка затруднена”.

По словам Тейшейры, аппаратные кошельки лишены важных функций, таких как адресные книги или интеграция с JSON ABI, что позволило бы пользователям лучше понять, что они подписывают на экране устройства.

Отраслевые последствия и лучшие практики

Инцидент с NPM поставил под сомнение практики безопасности, используемые разработчиками, менеджерами пакетов и организациями. Некоторые в криптоиндустрии считают, что соблюдение лучших практик, таких как рецензирование коллег и запрет разработчикам загружать код в производство без утверждения, могут минимизировать вероятность такой атаки. Кроме того, они считают, что разработчики должны поддерживать системы в актуальном состоянии и избегать повторного использования паролей.

Шахаф Бар-Геффен, сооснователь и генеральный директор COTI, считает, что менеджеры пакетов, такие как NPM, должны сделать процесс входа более сложным для потенциального злоумышленника. Он утверждает, что “Критическая рамка безопасности пакетов”, потенциально контролируемая такими организациями, как OpenJS Foundation, “могла бы требовать сильной аутентификации (2FA, разделенные токены API), воспроизводимые сборки и ежегодные аудиты третьих сторон для пакетов, превышающих высокие пороги загрузок”. Бар-Геффен считает, что эта многоуровневая модель проверки помогла бы стимулировать лучшие практики, защищая критическую инфраструктуру.

Чтобы избежать необходимости полагаться на одного человека (который может иметь личную заинтересованность) в выявлении вредоносной активности, Карло Фрагни, архитектор решений в Cartesi, призывает проекты быть в курсе каналов, используемых исследователями. Он также выступает за “использование инструментов аналитики зависимостей и проведение должной проверки каждой зависимости при каждом обновлении до новой версии”.