Ledger CTO يحذر من هجوم سلسلة التوريد NPM ضرب 1B+ تنزيلات

حذر Charles Guillemet ، كبير مسؤولي التكنولوجيا في صانعات Wallet Wallet ، في X يوم الاثنين من أن هجوم سلسلة التوريد على نطاق واسع يجري بعد حل وسط حساب مدير عقدة المطور السمعة (NPM).

وفقًا لـ Guillemet ، تم تصميم الرمز الضار – الذي تم دفعه بالفعل إلى الحزم بأكثر من مليار تنزيل – لمبادلة عناوين محفظة التشفير في المعاملات. هذا يعني أن المستخدمين المطمئنين يمكنهم إرسال الأموال مباشرة إلى المهاجم دون إدراك ذلك.

لم يذكر Guilemet اسم المطور الذي قال إن حسابه قد تعرض للخطر.

يؤكد الحادث على مدى ارتباط برامج مفتوحة المصدر بعمق ولماذا يمكن أن تتموج الهفوات الأمنية في أدوات المطورين في اقتصاد التشفير على الفور تقريبًا.

وقال Guillemet في رسالة إلى Coindesk: “NPM هي أداة شائعة الاستخدام في تطوير البرمجيات باستخدام JavaScript ، مما يجعل دمج الحزم سهلة للمطورين”. عندما يضعف المهاجم حساب المطور ، فيمكنه تنزلق التعليمات البرمجية الضارة في حزم تستخدم على نطاق واسع.

وأضاف Guillemet: “يحاول الرمز الضار استنزاف المستخدمين عن طريق تبديل العناوين المستخدمة في المعاملة أو النشاط العام على السلسلة واستبدالها بعنوان المتسلل”.

أكد Guillemet أنه إذا كان هناك أي تطبيق أو محفظة لبرامج اللامركزية عبر أي blockchain تتضمن حزم JavaScript هذه ، فيمكن أن يتعرضوا للخطر ، وبالتالي يمكن أن يفقد مستخدمو التشفير أموالهم.

وقال Guillemet إلى Coindesk: “الطريقة الوحيدة المؤكدة لمكافحة ذلك هي استخدام محفظة الأجهزة مع شاشة آمنة تدعم توقيعًا واضحًا”. “سيسمح هذا للمستخدم بمعرفة بالضبط عناوين الأموال التي يتم إرسالها إليها والتأكد من مطابقة العناوين المقصودة.”

وأضاف: “محافظ الأجهزة التي لا تتألف من شاشات آمنة وأي محفظة لا تدعم التوقيع الواضح معرضة لخطر كبير لأنه من المستحيل التحقق بدقة من أن تفاصيل المعاملة صحيحة”.

وقال جيليميت: “إنها فرصة لتذكير الجميع: تحقق دائمًا من معاملاتك ، ولا تميز أبدًا ، واستخدم محفظة الأجهزة مع شاشة آمنة ، وتوقيع كل شيء”.

اقرأ المزيد: يعالج دفتر الأستاذ CTO انتقاد خدمة استرداد المحفظة الجديدة