Från 'Code Red' till 'Nothingburger': Var NPM-exploateringen överdriven?

En “ingentingburgare” med en väckarklocka

Inledande rapporter om en storskalig JavaScript Node Package Manager (NPM) leveranskedjeattack utlöste en kort men intensiv period av panik inom kryptosamhället. I några timmar grep domedagsprofeter in på varningen och spekulerade om en omfattande stöld av användarfonder. Vid den tiden rådde Ledger CTO, Charles Guillemet, mjukvaruplånboksanvändare att upphöra med kedjetransaktioner och hårdvaruplånboksanvändare att dubbelkolla varje transaktion.

Men när timmarna gick blev angreppets omfattning tydligare. Det avslöjades att den skadliga koden var mycket målinriktad och antalet påverkade applikationer var begränsat. Framträdande projekt som Uniswap, Metamask, OKX Wallet och Aave släppte alla uttalanden som bekräftade att de inte blev påverkade.

Bristen på omfattande skada förvandlade snabbt den inledande paniken till en debatt. Vissa lättade kryptoanvändare började ifrågasätta allvaret i den ursprungliga varningen, med vissa som nu ser det som alarmistiskt och potentiellt till och med ett indirekt angrepp på mjukvaruplånböcker. Detta perspektiv antyder att varningen, samtidigt som den betonade en verklig sårbarhet, kan ha överdrivits för att främja användningen av hårdvaruplånböcker.

Medan skadorna i form av stulna krypto har fått vissa att kalla utnyttjandet en “ingentingburgare,” insisterar vissa blockkedjesäkerhetsexperter på att incidenten bör tjäna som en väckarklocka till alla mjukvaruutvecklare. Dessa experter är överens om att incidenten validerar säkerhetsmodellen för hårdvaruplånböcker, men de varnar också för att användare av sådana plånböcker fortfarande kan förlora medel vid en liknande attack under vissa omständigheter.

Augusto Teixeira, medgrundare på Cartesi, illustrerade denna punkt och uttalade, “Även användare av hårdvaruplånböcker kan påverkas av sådana attacker. Till exempel använder flera personer sina hårdvaruplånböcker med hjälp av Metamask utan att verifiera data på enhetens skärm. Detta blir vanligare i takt med att transaktioner blir mer avancerade och personer blindunderskriver dem. Verifiering är svårt.”

Enligt Teixeira saknar hårdvaruplånböcker viktiga funktioner som adressböcker eller integration med JSON ABI, vilket skulle låta användare bättre förstå vad de undertecknar från enhetens skärm.

Industriövergripande följder och bästa praxis

NPM-incidenten har ifrågasatt de säkerhetsrutiner som används av utvecklare, paketchefer och organisationer. Vissa inom kryptoindustrin tror att följande bästa praxis—såsom kamratgranskning och att inte tillåta utvecklare att driva kod till produktion utan godkännande—kan minimera sannolikheten för en sådan attack. Dessutom argumenterar de för att utvecklare bör hålla system uppdaterade och undvika att återanvända lösenord.

Shahaf Bar-Geffen, medgrundare och VD på COTI, tror att paketchefer som NPM bör göra inloggningsprocessen mer svår för en potentiell angripare. Han argumenterar för att ett “Kritiskt Paket Säkerhetsramverk,” potentiellt övervakat av organ som OpenJS Foundation, “skulle kunna kräva stark autentisering (2FA, avgränsade API-tokens), reproducerbara byggen och årliga tredjepartsrevisioner för paket som överstiger höga nedladdningströsklar.” Bar-Geffen tror att denna skiktade verifieringsmodell skulle bidra till att främja bästa praxis samtidigt som den skyddar kritisk infrastruktur.

För att undvika att behöva lita på en enskild person (som kan ha egna intressen) för att exponera skadlig aktivitet, uppmuntrar Carlo Fragni, Lösningsarkitekt på Cartesi, projekt att hålla sig informerade via kanaler som används av forskare. Han förespråkar också att “använda verktyg för beroendeanalys och genomföra due diligence på varje beroende när det uppdateras till en ny version.”