Шарль Гийомé, технический директор Ledger, выступил с экстренным предупреждением о крупной атаке на цепочку поставок в экосистеме JavaScript, широко используемой в криптоприложениях.
По его словам, был скомпрометирован популярный пакет в Node Package Manager (NPM). Злоумышленники внедрили вредоносный код, который в реальном времени подменяет адреса кошельков во время транзакций. Таким образом, средства пользователей могут незаметно уходить на адреса атакующих.
Масштаб проблемы
Так как JavaScript-библиотеки глубоко интегрированы в криптокошельки и dApp-приложения, под угрозой могут оказаться миллионы транзакций. По оценкам Ledger, это — беспрецедентный инцидент, затрагивающий огромную часть криптоэкосистемы.
Рекомендации по безопасности от Ledger
- Приостановить все on-chain транзакции, пока проблема не будет устранена.
- Использовать только аппаратные кошельки с поддержкой clear signing — функцией, позволяющей проверять каждый параметр транзакции (включая адрес получателя) на защищённом экране устройства.
Почему это важно
Инцидент вновь показывает уязвимость open-source библиотек и подчеркивает необходимость применения инструментов для прозрачной и проверяемой подписи транзакций. Без таких мер даже опытные пользователи могут стать жертвами «невидимого» вредоносного ПО.
