Binalaan ng Ledger CTO na si Charles Guillemet noong Lunes na may isang malawakang pag-atake sa supply chain ng software na isinasagawa na nakatuon sa mga NPM packages na ginagamit sa buong JavaScript ecosystem sa buong mundo.
Ledger CTO Nagbabala ng Malawakang NPM Supply Chain Attack; Nanawagan ng Pagsusuri ng mga Address
ISINULAT NI
IBAHAGI
‘Potensyal na Lahat ng Chain’: Nagbabala ang Ledger CTO Matapos Mahack ang NPM Developer Account
Ledger ni Guillemet sinabi sa X na ang account ng isang kagalang-galang na developer sa NPM ay nakompromiso at ang mga apektadong package ay na-download na higit sa 1 bilyong beses, na nagdudulot ng pag-aalala sa mga developer.
“May isang malawakang pag-atake sa supply chain na isinasagawa … maaaring nasa panganib ang buong JavaScript ecosystem,” isinulat niya sa X, na idinagdag na ang nakakahamak na code ay “tahimik na nagpapalit ng mga crypto address sa paglipat upang magnakaw ng mga pondo.”
Pinayuhan niya ang mga tao na hindi gumagamit ng hardware wallet na umiwas muna sa paggawa ng onchain transactions, at hinihimok ang lahat ng gumagamit na suriin ang mga detalye ng transaksyon bago lumagda. Sinabi niya na nananatiling hindi malinaw kung ang umaatake ay nagnanakaw ng mga seed phrase mula sa mga software wallet.
“Para sa mga gumagamit ng Ledger o iba pang mga hardware wallet na may malinaw na pag-sign, hindi ka nasa panganib,” idinagdag ni Guillemet, na binibigyang diin na ang malinaw na pag-sign at manu-manong pagsuri ay nagpoprotekta laban sa malware na nagpapalit ng address.
Hiwalay na security outlets ay nag-ulat din ng nagpapatuloy na mga kompromiso sa NPM account na nakakaapekto sa malawakang ginagamit na mga package, na inilarawan ng ilan ang kampanya bilang isa sa pinakamalaki sa uri nito sa ngayon. Sinabi ni Guillemet na ang epekto ay maaaring umabot sa “potensyal na lahat ng chain.”
