Технический директор Ledger предупреждает о атаке на цепочку поставок NPM, затрагивающей более 1 миллиарда загрузок

Чарльз Гийоме, технический директор производителя аппаратных кошельков Ledger, предупредил в X в понедельник сообщила, что в настоящее время осуществляется масштабная атака на цепочку поставок после взлома аккаунта разработчика в Node Package Manager (NPM).

По словам Гийемета, вредоносный код — уже внедрённый в пакеты с более чем 1 миллиардом загрузок — предназначен для скрытой подмены адресов криптовалютных кошельков в транзакциях. Это означает, что ничего не подозревающие пользователи могут отправлять средства напрямую злоумышленнику, не осознавая этого.

Гийемет не назвал разработчика, чей аккаунт, по его словам, был взломан.

Этот инцидент подчеркивает, насколько тесно взаимосвязано программное обеспечение с открытым исходным кодом и почему пробелы в безопасности инструментов разработчиков могут практически мгновенно отразиться на криптоэкономике.

«NPM — это инструмент, широко используемый в разработке программного обеспечения на языке JavaScript, который упрощает интеграцию пакетов для разработчиков», — заявил Гийемет в сообщении для CoinDesk. Когда злоумышленник получает доступ к учётной записи разработчика, он может внедрить вредоносный код в широко используемые пакеты.

«Вредоносный код пытается выкачать средства пользователей, заменяя адреса, используемые в транзакциях или в общей ончейн-активности, на адрес хакера», — добавил Гийомет.

Гийемет подчеркнул, что если какое-либо децентрализованное приложение или программный кошелек на любой блокчейн включает эти JavaScript-пакеты, они могут быть скомпрометированы, и пользователи криптовалют могут потерять свои средства.

«Единственный надежный способ борьбы с этим — использовать аппаратный кошелек с защищенным экраном, который поддерживает Clear Signing», — заявил Гийомэ для CoinDesk. «Это позволит пользователю точно видеть, на какие адреса отправляются средства, и убедиться, что они совпадают с предполагаемыми адресами.»

"Аппаратные кошельки без защищённых экранов и любые кошельки, не поддерживающие Clear signing, находятся в зоне высокого риска, поскольку невозможно точно проверить правильность данных транзакции," — добавил он."

"Это возможность напомнить всем: всегда проверяйте свои транзакции, никогда не подписывайте вслепую, используйте аппаратный кошелек с безопасным экраном и обязательно подтверждайте каждую операцию," — сказал Гийомет.

Читать далее: Технический директор Ledger прокомментировал критику новой службы восстановления кошельков