A invasão da cadeia de fornecimento do pacote JavaScript está se espalhando... Infraestruturas de ativos de criptografia como ENS também foram infectadas.

Ataques à cadeia de fornecimento do ecossistema JavaScript estão rapidamente se espalhando para a indústria de ativos de criptografia. Recentemente, a empresa de segurança cibernética Aikido Security revelou que um malware chamado “sandworm” infectou pelo menos centenas de pacotes, dos quais pelo menos 10 estão intimamente relacionados a projetos de criptografia.

O investigador de segurança Aikido, Charlie Eriksen, afirmou no dia 6 através do blog da empresa que já confirmou mais de 400 pacotes suspeitos de infecção. Ele enfatizou que a validação manual caso a caso da situação de infecção reduziu a taxa de falsos positivos ao mínimo.

Este ataque à cadeia de fornecimento espalhou-se através do registo da plataforma de gestão de pacotes JavaScript NPM, sendo classificado como malware auto-replicante. Devido à sua propagação em pacotes de software de código aberto que desenvolvedores comuns descarregam e utilizam sem suspeitas, a velocidade de infecção e o alcance do impacto são extremamente rápidos. Em particular, vários pacotes relacionados com a comunidade de ativos de criptografia foram afetados, muitos dos quais são módulos populares com dezenas de milhares de downloads semanais.

Ericsson também emitiu um aviso de risco de infecção sobre o serviço de nomes de domínio Ethereum na plataforma X. Ele apontou que alguns pacotes de software utilizados pelo ENS também foram infectados. O ENS, como infraestrutura central que fornece serviços de endereços na internet baseados em Ethereum, é adotado por muitos projetos de criptografia e mercados de NFT.

Os ataques à cadeia de fornecimento não visam diretamente organizações específicas, mas sim penetram indiretamente através da inserção de código malicioso em ferramentas ou bibliotecas de desenvolvimento amplamente utilizadas. Este tipo de ataque é difícil de detectar e o potencial de danos pode ser maior, mantendo a indústria de segurança sempre em alta alerta. Dado que a maioria dos projetos de ativos de criptografia baseados em código aberto neste incidente utiliza pacotes de software de terceiros, a tensão em todo o mercado está a aumentar.

Os desenvolvedores de Ativos de criptografia e as empresas esperam realizar verificações de segurança dependentes de pacotes externos com este evento e reforçar as medidas de protocolo de segurança. Até o momento, a extensão específica das perdas ainda não está clara, mas se envolver projetos de serviços essenciais como ENS, seu impacto pode durar um período de tempo.

Resumo do artigo fornecido pela TokenPost.ai

🔎 Interpretação de mercado

Com a tecnologia de código aberto, que é a pedra angular do ecossistema de rede aberta, tornando-se a origem de ataques de hackers, a vulnerabilidade das tecnologias descentralizadas se destaca novamente. Se pacotes de software amplamente utilizados, como contratos inteligentes ou o backend de carteiras, forem infectados, isso pode representar uma ameaça significativa à proteção dos ativos dos usuários.

💡 Pontos estratégicos

• Verifique a lista de pacotes de dependência de cada projeto e fortaleça o processo de validação manual.

• Ao usar bibliotecas externas com novo código, é necessário adicionar um programa de segurança

• Necessário realizar um diagnóstico centralizado de vulnerabilidades em infraestruturas importantes como o ENS.

📘 Explicação de termos

Ataque à cadeia de fornecimento: técnica de ataque cibernético que realiza a penetração indireta atacando o software ou serviço necessário ao alvo em vez de atacar diretamente o alvo final.

NPM: um sistema de gestão de pacotes amplamente utilizado no ecossistema JavaScript, a maioria dos projetos de criptografia baseados na web utiliza este sistema.

ENS: sistema que converte endereços complexos de carteiras Ethereum em nomes de domínio legíveis.

TP AI precauções

Este artigo utiliza o modelo de linguagem TokenPost.ai para a geração de resumos, podendo haver omissões de conteúdos principais ou informações que não correspondem aos factos.