“پرداخت توجه”: Ledger CTO هشدار می دهد تهدید بزرگ امنیتی – U.Today

به گفته چارلز گیلمت ، مدیر ارشد فناوری سازنده کیف پول سخت افزار ، یک حمله زنجیره تأمین بزرگ در مقیاس بزرگ اخیراً به اکوسیستم NPM رسیده است.

لازم به ذکر است که توسعه دهندگان در سراسر جهان برای ایجاد وب سایت به بسته های NPM اعتماد دارند. NPM پرکاربردترین مدیر بسته برای JavaScript و TypeScript است.

کد مخرب اضافه شده به ویژه برای مبادله مخفیانه آدرس های مخرب ارز رمزنگاری شده اضافه شده است. به این ترتیب ، قربانی بالقوه مهاجم به طور تصادفی پول را به آدرس اشتباه ارسال می کند.

به گفته گیلمت ، مشخص نیست که آیا این کد می تواند دانه های نجات کد را از کیف پول های پرتاب شده برای به خطر انداختن حذف کند.

دامنه حمله

همانطور که توسط Ledger CTO گفته شد ، بسته های خطرناک قبلاً بیش از یک میلیارد کاهش یافته است.

البته این بدان معنا نیست که آنها در معرض خطر هک هستند ، اما کد مخرب دامنه خالص حمله زنجیره تأمین را نشان می دهد ، زیرا کد قبلاً در برنامه های مختلف تعبیه شده است. کیف پول های رمزنگاری بزرگترین خطر را ایجاد می کنند ، زیرا مهاجمان به ویژه آدرس ها را دستکاری می کنند.

این حمله زنجیرهای مختلفی از جمله اتریوم و سولانا را تحت تأثیر قرار می دهد.