Ledger CTO waarschuwt voor NPM-aanval op de supply chain die meer dan 1 miljard downloads treft

Charles Guillemet, chief technology officer bij hardware wallet fabrikant Ledger, waarschuwde op X meldde maandag dat een grootschalige supply chain-aanval aan de gang is na de compromittering van het Node Package Manager (NPM) account van een gerenommeerde ontwikkelaar.

Volgens Guillemet is de kwaadaardige code — al ingebouwd in pakketten met meer dan 1 miljard downloads — ontworpen om stilletjes cryptowallet-adressen te wijzigen bij transacties. Dit betekent dat nietsvermoedende gebruikers mogelijk rechtstreeks fondsen naar de aanvaller kunnen sturen zonder dit te beseffen.

Guillemet heeft de ontwikkelaar van wie hij zei dat het account was gecompromitteerd, niet bij naam genoemd.

Het incident benadrukt hoe diep verweven open-source software is en waarom beveiligingsfouten in ontwikkelaarstools vrijwel direct kunnen doordreunen in de crypto-economie.

“NPM is een veelgebruikt hulpmiddel in softwareontwikkeling met JavaScript, waarmee integratie van pakketten eenvoudig wordt voor ontwikkelaars,” zei Guillemet in een bericht aan CoinDesk. Wanneer een aanvaller het account van een ontwikkelaar compromitteert, kan hij kwaadaardige code insluipen in veelgebruikte pakketten.

“De kwaadaardige code probeert gebruikers leeg te trekken door adressen die worden gebruikt in transacties of algemene on-chain activiteiten te vervangen door het adres van de hacker,” voegde Guillemet toe.

Guillemet benadrukte dat als een gedecentraliseerde applicatie of softwareportemonnee op welke blockchain dan ook deze JavaScript-pakketten bevat, deze kwetsbaar kunnen zijn en crypto-gebruikers daardoor hun fondsen kunnen verliezen.

“De enige zekere manier om dit tegen te gaan is het gebruik van een hardware wallet met een beveiligd scherm dat Clear Signing ondersteunt,” zei Guillemet tegen CoinDesk. “Dit stelt de gebruiker in staat om exact te zien naar welke adressen fondsen worden gestuurd en te verzekeren dat deze overeenkomen met de bedoelde adressen.”

"Hardware wallets zonder beveiligde schermen en elke wallet die Clear signing niet ondersteunt, lopen een hoog risico omdat het onmogelijk is om nauwkeurig te verifiëren of de transactiegegevens correct zijn," voegde hij eraan toe.

"Het is een gelegenheid om iedereen eraan te herinneren: controleer altijd uw transacties, onderteken nooit blindelings, gebruik een hardwarewallet met een veilig scherm, en Clear Sign alles," zei Guillemet.

Lees meer: Ledger CTO reageert op kritiek omtrent nieuwe portemonnee herstelservice