Consumer logo
bitpanda logo
bybit eu logo
ledger logo

A Ledger CTO-ja figyelmeztetést adott ki: kerüld az on-chain tranzakciókat a hatalmas NPM ellátási lánc-támadás miatt

Kriptomagazin hacker pc
google-newss

Kövess minket a Google Hírekben

A Ledger technológiai igazgatója, Charles Guillemet hétfőn sürgős figyelmeztetést adott ki, miszerint a felhasználóknak ideiglenesen kerülniük kell az on-chain tranzakciókat egy nagyszabású kiberincidens miatt.

bitpanda magyar banner

„Egy nagyszabású ellátási lánc-támadás zajlik: egy megbízható fejlesztő NPM-fiókját feltörték” – írta Guillemet az X-en. Hozzátette: az érintett csomagokat már több mint egymilliárdszor töltötték le, így az egész JavaScript-ökoszisztéma veszélybe kerülhetett.

A támadás során a kompromittált kód csendes háttérművelettel cseréli ki a kriptotárca-címeket, így a tranzakciók során a pénz valójában a támadókhoz kerül.

https://twitter.com/P3b7_/status/1965094840959410230

Kik vannak veszélyben?

  • Hardveres tárcát használók: Guillemet szerint biztonságban vannak, ha minden tranzakciót alaposan ellenőriznek aláírás előtt.
  • Szoftveres tárcát használók: nekik azt javasolja, hogy átmenetileg ne hajtsanak végre on-chain tranzakciókat.

A támadás részletei

  • Az NPM-en, a JavaScript-fejlesztők által széles körben használt kódtárban történt a kompromittáció.
  • Egyes becslések szerint ez lehet „a valaha volt legnagyobb ellátási lánc-támadás”.
  • A kompromittált csomagok között olyan népszerű könyvtárak is lehetnek, amelyek heti több milliárd letöltést produkálnak.
  • Az NPM állítólag már letiltotta a fertőzött verziókat, de akik az elmúlt órákban frissítették alkalmazásaikat, továbbra is veszélyben lehetnek.

A kompromittált fejlesztő megerősítette a támadást, hozzátéve, hogy a támadók phishing e-maillel szerezték meg a hozzáférést, amely egy hamis, az npmjs.com-ot utánzó domainről érkezett.

Mit tegyenek a felhasználók?

  • Hardveres tárca esetén minden tranzakciót alaposan ellenőrizni kell.
  • Szoftveres tárca esetén érdemes szüneteltetni az on-chain tranzakciókat.
  • Fejlesztőknek ajánlott átvizsgálni a függőségeiket, különösen, ha az elmúlt órákban futtattak npm update-et.

Guillemet kiemelte: „Ha Ledger vagy bármilyen hardveres tárcát használsz tiszta aláírással, nincs ok az aggodalomra. De a többieknek most jobb, ha kivárnak.”

 

Tájékoztatás

A kriptomagazin.hu oldalon található információk és elemzések a szerzők magánvéleményét tükrözik. A jelen oldalon megjelenő írások, cikkek nem valósítanak meg a 2007. évi CXXXVIII. törvény (Bszt.) 4. § (2). bek 8. pontja szerinti befektetési elemzést és a 9. pont szerinti befektetési tanácsadást. Bármely befektetési döntés meghozatala során az adott befektetés megfelelőségét csak az adott befektető személyére szabott vizsgálattal lehet megállapítani, melyre a jelen oldal nem vállalkozik és nem is alkalmas. Az egyes befektetési döntések előtt éppen ezért tájékozódjon részletesen és több forrásból, szükség esetén konzultáljon befektetési tanácsadóval!

A cikkekben megjelenő esetleges hibákért téves információkból eredendő anyagi károkért a kriptomagazin.hu felelősséget nem vállal.

Ezt olvastad már?

Olvass minket a Telegramon

Legfrissebb hírek

Hirdetés
binance-promo
tradingview
Bitsgap krito kereskedő robot

Árfolyamok

Latest Crypto Fear & Greed Index