Glavni tehnološki direktor Ledger Charles Guillemet je v ponedeljek opozoril, da je v teku obsežen napad na programsko dobavno verigo, usmerjen na NPM pakete, ki se uporabljajo po celotnem globalnem JavaScript ekosistemu.
Ledger CTO opozarja na obsežen napad na dobavno verigo NPM; poziva k preverjanju naslovov
NAPISAL
DELI
‘Potencialno Vse Verige’: Glavni tehnološki direktor Ledger opozarja po vdoru v NPM račun razvijalca
Ledger‘s Guillemet je na platformi X povedal, da je bil ugleden razvijalčev NPM račun ogrožen in da so prizadeti paketi preneseni več kot milijardo krat, kar povzroča skrbi glede izpostavljenosti za razvijalce.
“Poteka obsežen napad na dobavno verigo … celoten JavaScript ekosistem je lahko ogrožen,” je napisal na X, pri čemer je dodal, da zlonamerna koda “tiho zamenjuje kripto naslove z namenom kraje sredstev.”
Svetoval je ljudem, ki ne uporabljajo strojnih denarnic, naj se začasno izogibajo transakcijam onchain, in pozval vse uporabnike, naj pregledajo podrobnosti transakcij pred podpisovanjem. Dodal je, da ostaja nejasno, ali napadalec krade začetne fraze iz programske denarnice.
“Za uporabnike Ledger ali drugih strojnih denarnic s preglednim podpisovanjem niste ogroženi,” je dodal Guillemet, poudarjajoč, da pregledno podpisovanje in ročno preverjanje ščitita pred zamenjavami naslovov zlonamerne kode.
Posebni varnostni portali so prav tako poročali o tekočih kompromisih NPM računov ki vplivajo na široko uporabljane pakete, pri čemer so nekateri opisali kampanjo kot eno največjih te vrste do danes. Guillemet je dejal, da bi učinek lahko segal “potencialno na vse verige.”
