จาก 'Code Red' ถึง 'Nothingburger': การโจมตี NPM ถูกพูดเกินจริงหรือไม่?

‘เรื่องเล็กน้อย’ ที่มีการปลุกให้ตื่นตัว

รายงานเบื้องต้นเกี่ยวกับการโจมตีซัพพลายเชนของ Node Package Manager (NPM) ขนาดใหญ่ด้วย JavaScript ได้จุดประกายช่วงเวลาของความตื่นตระหนกที่รุนแรงในชุมชนคริปโต โศกนาฏกรรมชัยสดอุดร่เดเวลอัปอินเตอร์เวลหลังจากการเตือนนี้ คาดการณ์ว่ามีการขโมยเงินของผู้ใช้จำนวนมาก ในขณะนั้น CTO ของ Ledger, Charles Guillemet, แนะนำ ผู้ใช้กระเป๋าซอฟต์แวร์ให้หยุดทำธุรกรรมในเชนและผู้ใช้กระเป๋าฮาร์ดแวร์ให้ตรวจสอบทุกธุรกรรมอย่างละเอียด

อย่างไรก็ตาม เมื่อเวลาผ่านไป ขนาดของการโจมตีก็เริ่มชัดเจนขึ้น มีการเปิดเผย ว่ารหัสที่เป็นอันตรายนั้นถูกกำหนดเป้าหมายอย่างสูง และจำนวนแอปพลิเคชันที่ได้รับผลกระทบมีจำกัด โปรเจ็กต์เด่น ๆ อย่าง Uniswap, Metamask, OKX Wallet และ Aave ได้ปล่อยคำชี้แจงยืนยันว่าพวกเขาไม่ได้รับผลกระทบ

การขาดความเสียหายที่แพร่หลายได้เปลี่ยนความตื่นตระหนกเริ่มต้นให้เป็นการโต้เถียง บางผู้ใช้คริปโตที่โล่งใจเริ่มตั้งคำถามถึงความรุนแรงของการเตือนเดิม โดยบางคนมองว่ามันเป็นการปลุกทุกข์เกินจริงและอาจเป็นการโจมตีทางอ้อมต่อกระเป๋าซอฟต์แวร์มาร่วมกันด้วยซ้ำ มุมมองนี้แสดงให้เห็นว่าการเตือนนี้แม้จะชี้ให้เห็นถึงช่องโหว่ที่แท้จริงแล้ว แต่ก็อาจถูกเกินไปเพื่อส่งเสริมการใช้กระเป๋าฮาร์ดแวร์

แม้ความเสียหายในแง่ของ crypto ที่ถูกขโมยทำให้บางคนระบุว่าการโจมตีนั้นเป็น “nothingburger” ผู้เชี่ยวชาญด้านความปลอดภัยในบล็อกเชนยืนยันว่าเหตุการณ์นี้ควรเป็นการปลุกให้ตื่นตัวสำหรับนักพัฒนาซอฟต์แวร์ทุกคน ผู้เชี่ยวชาญเหล่านี้เห็นพ้องว่าเหตุการณ์นี้ยืนยันโมเดลความปลอดภัยของกระเป๋าฮาร์ดแวร์ แต่พวกเขายังเตือนว่าผู้ใช้กระเป๋าดังกล่าวอาจสูญเสียเงินทุนกับการโจมตีที่คล้ายกันภายใต้สถานการณ์บางอย่าง

Augusto Teixeira, ผู้ร่วมก่อตั้งที่ Cartesi, ได้อธิบายว่า “แม้แต่ผู้ใช้กระเป๋าฮาร์ดแวร์ก็สามารถได้รับผลกระทบจากการโจมตีดังกล่าวได้ ตัวอย่างเช่น หลายคนใช้กระเป๋าฮาร์ดแวร์ร่วมกับ Metamask โดยไม่ยืนยันข้อมูลบนหน้าจอของอุปกรณ์ ซึ่งกลายเป็นเรื่องปกติมากขึ้นเมื่อธุรกรรมซับซ้อนขึ้นและผู้คนทำการลงนามโดยไม่ทันตั้งตัว การยืนยันทำได้ยาก”

ตามที่ Teixeira กล่าว กระเป๋าฮาร์ดแวร์ขาดคุณสมบัติสำคัญเช่นสมุดที่อยู่หรือการรวมกับ JSON ABI ซึ่งจะทำให้ผู้ใช้เข้าใจดีขึ้นว่าพวกเขากำลังลงนามอะไรมาจากหน้าจอของอุปกรณ์

ผลกระทบในอุตสาหกรรมและแนวทางปฏิบัติที่ดีที่สุด

เหตุการณ์ NPM ได้ทำให้เกิดคำถามเกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยที่นักพัฒนา ผู้จัดการแพคเกจ และองค์กรใช้ บางคนในอุตสาหกรรมคริปโตเชื่อว่าการปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุด—อย่างเช่นการตรวจสอบโดยเพื่อนและไม่อนุญาตให้นักพัฒนาดันโค้ดไปยังการผลิตโดยไม่ได้รับการอนุมัติ—สามารถลดความเป็นไปได้ของการโจมตีดังกล่าว นอกจากนี้ พวกเขายังเสนอให้ผู้พัฒนาทำให้ระบบเป็นปัจจุบันและหลีกเลี่ยงการใช้รหัสผ่านซ้ำ

Shahaf Bar-Geffen, ผู้ร่วมก่อตั้งและ CEO ของ COTI, เชื่อว่าแพคเกจเมเนเจอร์อย่าง NPM ควรทำให้กระบวนการล็อกอินสเตอร์ทูชั่นนี้ยากขึ้นสำหรับผู้โจมตีที่มีศักยภาพ เขาเสนอว่า “Critical Package Security Framework” ซึ่งอาจดูแลโดยองค์กรอย่าง OpenJS Foundation, “สามารถกำหนดหลักการยืนยันตัวตนที่แข็งแรง (2FA, scoped API tokens), การสร้างที่สามารถทำซ้ำได้ และการตรวจสอบบุคคลที่สามประจำปีสำหรับแพคเกจที่มียอดดาวน์โหลดในระดับสูง” Bar-Geffen เชื่อว่าโมเดลการตรวจสอบตามลำดับชั้นนี้จะช่วยส่งเสริมแนวทางปฏิบัติที่ดีที่สุดในขณะเดียวกันก็ปกป้องโครงสร้างพื้นฐานที่สำคัญ

เพื่อหลีกเลี่ยงการต้องพึ่งพาบุคคลเดียว (ซึ่งอาจมีความสนใจส่วนตัว) ในการเปิดเผยกิจกรรมที่เป็นอันตราย Carlo Fragni, สถาปนิกทางการแก้ปัญหาที่ Cartesi, สนับสนุนให้โครงการต่างๆ ตื่นตัวกับช่องทางที่นักวิจัยใช้ เขายังสนับสนุนการ “ใช้เครื่องมือวิเคราะห์การพึ่งพาและการดำเนินการตรวจสอบอย่างละเอียดทุกครั้งที่การพึ่งพามีการอัพเดทเป็นเวอร์ชันใหม่”