Від «Червоного коду» до «Пустої тріски»: чи була експлуатація NPM перебільшена?

‘Ніщо’, що стало сигналом для пробудження

Перші повідомлення про масштабну атаку на ланцюг постачання JavaScript Node Package Manager (NPM) викликали короткий, але інтенсивний період паніки в криптоспільноті. Протягом кількох годин, песимісти підхопили попередження, спекулюючи про масове викрадення коштів користувачів. На той час, CTO Ledger Шарль Гільомет, порадила користувачам програмних гаманців припинити транзакції в ланцюгу, а користувачам апаратних гаманців двічі перевіряти кожну транзакцію.

Проте, з плином годин, масштаб атаки став яснішим. Було виявлено, що шкідливий код був високоцільовим, і кількість уражених додатків була обмежена. Видатні проекти, такі як Uniswap, Metamask, OKX Wallet і Aave, оприлюднили заяви, підтверджуючи, що вони не були уражені.

Відсутність масштабної шкоди швидко перетворила початкову паніку в обговорення. Деякі розслаблені користувачі криптовалюти почали ставити під сумнів серйозність первісного попередження, вважаючи його алармістським і потенційно навіть непрямим нападом на програмні гаманці. Ця перспектива припускає, що попередження, хоча і підкреслювало реальну вразливість, можливо, було перебільшено для просування використання апаратних гаманців.

Хоча шкода у вигляді вкраденої криптовалюти привела деяких до визнання експлоїту як “ніщо”, деякі експерти з безпеки блокчейну наполягають на тому, що інцидент повинен стати сигналом для пробудження всіх розробників програмного забезпечення. Ці експерти погоджуються, що інцидент підтверджує безпекову модель апаратних гаманців, але також попереджають, що користувачі таких гаманців все ще можуть втратити кошти внаслідок подібної атаки за певних обставин.

Аугусто Тейшейра, співзасновник Cartesi, ілюструє цю точку зору, заявивши: “Навіть користувачі апаратних гаманців можуть потрапити під такий напад. Наприклад, кілька людей користуються своїми апаратними гаманцями за допомогою Metamask, не перевіряючи дані на екрані пристрою. Це стає все більш поширеним, оскільки транзакції стають більш складними, а люди сліпо їх підписують. Перевірка стає важкою.”

За словами Тейшейри, апаратні гаманці не мають важливих функцій, таких як адресна книга або інтеграція з JSON ABI, які б дозволили користувачам краще розуміти, що вони підписують з екрану пристрою.

Імплікації для всієї галузі та найкращі практики

Інцидент з NPM поставив під сумнів безпекові практики, що використовуються розробниками, менеджерами пакетів і організаціями. Деякі в криптоіндустрії вважають, що дотримання найкращих практик — таких як перегляд колегами та заборона розробникам пушити код в продакшн без схвалення — може мінімізувати ймовірність такої атаки. Крім того, вони стверджують, що розробники повинні підтримувати системи актуальними та уникати повторного використання паролів.

Шахаф Бар-Гефен, співзасновник і генеральний директор COTI, вважає, що менеджери пакетів, такі як NPM, повинні ускладнити процес входу для потенційного зловмисника. Він аргументує, що “Критична Безпекова Рамка Пакетів”, яку потенційно можуть контролювати органи, такі як OpenJS Foundation, “може запровадити сильну автентифікацію (2FA, токени API з обмеженою дією), відтворювані збірки та щорічні аудити третіх сторін для пакетів, що перевищують високі пороги завантаження.” Бар-Гефен вважає, що ця модель багаторівневої перевірки допоможе стимулювати найкращі практики, захищаючи критичну інфраструктуру.

Щоб уникнути залежності від однієї людини (яка може мати власні інтереси) для викриття шкідливої діяльності, Карло Фрагні, Архітектор рішень в Cartesi, заохочує проекти стежити за каналами, що використовуються дослідниками. Він також виступає за “використання інструментів аналізу залежностей і проведення належної перевірки кожної залежності щоразу, коли вона оновлюється до нової версії”.