Ein erheblicher Angriff der Lieferkette hat in der Kryptowährungsgemeinschaft Alarme ausgelöst, insbesondere nachdem der NPM -Konto (Node Package Manager) des Entwicklers Qix kompromittiert wurde.
Charles Guilletment, Chief Technology Officer von Ledger, ein Hardware -Brieftaschenanbieter, gab einen starken Warnung an Kryptoinvestoren in einem kürzlich auf Social Media Platform X (ehemals Twitter).
Er betonte die potenziellen Risiken, die mit diesem Verstoß verbunden sind, und stellte fest, dass die betroffenen Pakete über eine Milliarden Mal heruntergeladen wurden und das gesamte JavaScript -Ökosystem in Gefahr gebracht wurden.
Crypto Clipper Malware entdeckt
Nach einer Untersuchung Bericht In diesem Fall fungiert der in diesem Angriff eingeführte böswillige Code als „Krypto-Klipper“, eine Art Malware, die Kryptowährungstransaktionen abfängt und verändert.
Der böswillige Code soll durch stillschweigendes Austausch von Brieftaschenadressen in Netzwerkanfragen operieren und Fonds von legitimen Brieftaschen effektiv auf die vom Angreifer kontrollierten Wolkenbeteiligung umleiten.
Für Benutzer von Hardware -Geldbörsen riet Guilletment, dass jede Transaktion vor der Unterzeichnung sorgfältig beachtet werden sollte. Im Gegensatz dazu forderte er Personen auf, die Hardware-Geldbörsen nicht verwenden, um keine Onketten-Transaktionen zu unterlassen, bis die Situation vollständig gelöst ist.
Angesichts der Verstoß hat ein Krypto -Experte bestätigt, dass er mit dem NPM -Sicherheitsteam zusammenarbeitet, um das Problem anzugehen. Während der böswillige Code aus den meisten gefährdeten Paketen entfernt wurde, bleibt die Situation fließend.
Dringende Sicherheitsmaßnahmen
Der Angriff der Lieferkette umfasste speziell den als QIX bekannten Entwickler, was zur Veröffentlichung böswilliger Versionen zahlreicher hochwirksamer Pakete führte. Mit den kombinierten wöchentlichen Downloads dieser betroffenen Pakete, die eine Milliarde überschreiten, ist die potenzielle Auswirkungen auf das JavaScript -Ökosystem erheblich.
Um Risiken zu mildern, betonte Guilletment die Bedeutung der Überwachung von Projektabhängigkeiten sofort. Entwickler werden ermutigt, alle betroffenen Pakete in ihren letzten bekannten sicheren Versionen mit der Funktion „Overrides“ in ihren Paket.json -Dateien zu stecken.
Ausgewähltes Bild von Dall-E, Diagramm von tradingview.com
Redaktioneller Prozess Denn Bitcoinist konzentriert sich darauf, gründlich recherchierte, genaue und unvoreingenommene Inhalte zu liefern. Wir halten strenge Beschaffungsstandards ein und jede Seite wird von unserem Team von Top -Technologieexperten und erfahrenen Redakteuren fleißig geprüft. Dieser Prozess sorgt für die Integrität, Relevanz und den Wert unserer Inhalte für unsere Leser.
