Charles Guillemet, directorul tehnic al producătorului de portofele hardware Ledger, a avertizat luni, pe X, că este în desfășurare un atac la scară largă asupra lanțului de aprovizionare, după compromiterea contului Node Package Manager (NPM) al unui dezvoltator reputat.
Potrivit lui Guillemet, codul malițios – deja introdus în pachete cu peste 1 miliard de descărcări – este conceput pentru a schimba în mod silențios adresele portofelelor cripto în tranzacții. Asta înseamnă că utilizatorii neștiutori ar putea trimite fonduri direct atacatorului fără să-și dea seama.
Guillemet nu a numit dezvoltatorul al cărui cont a spus că a fost compromis. Incidentul subliniază cât de profund interconectat este software-ul open-source și de ce lacunele de securitate din instrumentele pentru dezvoltatori se pot propaga aproape instantaneu în economia cripto.
„NPM este un instrument utilizat frecvent în dezvoltarea de software folosind JavaScript, ceea ce face ca integrarea pachetelor să fie ușoară pentru dezvoltatori”, a declarat Guillemet într-un mesaj către CoinDesk. Atunci când un atacator compromite contul unui dezvoltator, el poate strecura cod malițios în pachete utilizate pe scară largă.
„Codul malițios încearcă să fure fonduri de la utilizatori prin schimbarea adreselor utilizate în tranzacții sau în activitatea generală on-chain și înlocuirea lor cu adresa hackerului”, a adăugat Guillemet.
Guillemet a subliniat că, dacă orice aplicație descentralizată sau portofel software de pe orice blockchain include aceste pachete JavaScript, atunci ar putea fi compromise, iar utilizatorii cripto ar putea, prin urmare, să-și piardă fondurile.
„Singura modalitate sigură de a combate acest lucru este utilizarea unui portofel hardware cu un ecran securizat care să suporte Clear Signing”, a declarat Guillemet pentru CoinDesk. „Acest lucru va permite utilizatorului să vadă exact la ce adrese sunt trimise fondurile și să se asigure că acestea corespund adreselor intenționate.”
„Portofelele hardware fără ecrane securizate și orice portofel care nu acceptă Clear signing prezintă un risc ridicat, deoarece este imposibil să se verifice cu exactitate dacă detaliile tranzacției sunt corecte”, a adăugat el.
„Este o oportunitate de a reaminti tuturor: verificați întotdeauna tranzacțiile, nu semnați niciodată orbește, utilizați un portofel hardware cu un ecran securizat și folosiți Clear Signing pentru tot”, a spus Guillemet.