Ledger CTO’su Charles Guillemet, Pazartesi günü, dünya çapındaki JavaScript ekosisteminde kullanılan NPM paketlerini hedef alan büyük çaplı bir yazılım tedarik zinciri saldırısının devam ettiğini uyardı.
Ledger CTO, Büyük Ölçekli NPM Tedarik Zinciri Saldırısı Konusunda Uyarıyor; Adres Kontrollerini Yapmaya Çağırıyor
YAZAN
PAYLAŞ
‘Potansiyel Olarak Tüm Zincirler’: NPM Geliştirici Hesabı Hacklendikten Sonra Ledger CTO’su Uyardı
Ledger‘dan Guillemet, X’te açıkladı ki, saygın bir geliştiricinin NPM hesabı ele geçirildi ve etkilenen paketlerin 1 milyardan fazla kez indirildiği, bu da geliştiriciler için maruz kalma endişelerini artırdığını söyledi.
“Büyük çaplı bir tedarik zinciri saldırısı devam ediyor … tüm JavaScript ekosistemi risk altında olabilir,” diye X’te yazdı ve kötü niyetli kodun “fonları çalmak için anında kripto adreslerini sessizce değiştirdiğini” ekledi.
Donanım cüzdanı kullanmayan kişilere, şimdilik zincir üstü işlemler yapmaktan kaçınmalarını tavsiye etti ve tüm kullanıcıları, imzalamadan önce işlem detaylarını gözden geçirmeye çağırdı. Saldırganın yazılım cüzdanlarından cümle tohumlarını çalıp çalmadığı belirsizliğini koruyor.
“Ledger veya açık imzalı diğer donanım cüzdanlarını kullananlar için riskte değilsiniz,” diye ekledi Guillemet, adres değiştiren kötü amaçlı yazılımlara karşı açık imzalama ve manuel doğrulamanın koruma sağladığını belirtti.
Ayrı güvenlik kaynakları da geniş çapta kullanılan paketleri etkileyen devam eden NPM hesap ihlallerini bildirdi ve bazıları kampanyayı bugüne kadarki en büyüklerinden biri olarak nitelendirdi. Guillemet, etkinin “potansiyel olarak tüm zincirlere” yayılabileceğini söyledi.
