Разгорілася велика атака на мережу постачання, що загрожує широко використовуваній бібліотеці програмного забезпечення JavaScript, яку вважають найбільшою подібною подією в історії. Повідомляється, що інфіковане шкідливими програмами програмне забезпечення було призначене для крадіжки криптоактивів шляхом заміни адреси гаманця та перехоплення транзакцій. Звіти показують, що хакер зламав обліковий запис одного з відомих розробників нода пакунків (NPM) і таємно вбудував шкідливе програмне забезпечення в популярні бібліотеки JavaScript, які використовуються мільйонами додатків. Цей шкідливий код може перехоплювати або замінювати адреси гаманців криптоактивів, ставлячи під загрозу проекти з мільярдами завантажень. Уразливість спеціально націлена на такі пакунки, як chalk, strip-ansi та color-convert, які глибоко інтегровані в дерева залежностей багатьох проектів. Ці бібліотеки завантажуються більше 1 мільярда разів на тиждень, що означає, що навіть розробники, які безпосередньо не встановлюють їх, можуть опинитися під загрозою. NPM виконує роль центрального репозиторію для розробників, подібно до магазину програм, в якому вони можуть ділитися та завантажувати маленькі кодові пакунки для створення проектів на JavaScript. Здається, що зловмисники впровадили крипто-кліппер (crypto-clipper), шкідливе програмне забезпечення, яке таємно замінює адреси гаманців під час транзакції для перенаправлення коштів. Спеціалісти з безпеки попереджають, що користувачі, які покладаються на програмні гаманці, можуть бути особливо вразливими, тоді як користувачі апаратних гаманців, які підтверджують кожну транзакцію, захищені. Наразі невідомо, чи буде це шкідливе програмне забезпечення безпосередньо красти фрази відновлення. Ситуація розвивається, і ми надамо більше інформації, коли отримаємо її.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Найбільша атака на мережу постачання націлена на бібліотеки JavaScript, загрожуючи безпеці шифрування
Разгорілася велика атака на мережу постачання, що загрожує широко використовуваній бібліотеці програмного забезпечення JavaScript, яку вважають найбільшою подібною подією в історії. Повідомляється, що інфіковане шкідливими програмами програмне забезпечення було призначене для крадіжки криптоактивів шляхом заміни адреси гаманця та перехоплення транзакцій. Звіти показують, що хакер зламав обліковий запис одного з відомих розробників нода пакунків (NPM) і таємно вбудував шкідливе програмне забезпечення в популярні бібліотеки JavaScript, які використовуються мільйонами додатків. Цей шкідливий код може перехоплювати або замінювати адреси гаманців криптоактивів, ставлячи під загрозу проекти з мільярдами завантажень. Уразливість спеціально націлена на такі пакунки, як chalk, strip-ansi та color-convert, які глибоко інтегровані в дерева залежностей багатьох проектів. Ці бібліотеки завантажуються більше 1 мільярда разів на тиждень, що означає, що навіть розробники, які безпосередньо не встановлюють їх, можуть опинитися під загрозою. NPM виконує роль центрального репозиторію для розробників, подібно до магазину програм, в якому вони можуть ділитися та завантажувати маленькі кодові пакунки для створення проектів на JavaScript. Здається, що зловмисники впровадили крипто-кліппер (crypto-clipper), шкідливе програмне забезпечення, яке таємно замінює адреси гаманців під час транзакції для перенаправлення коштів. Спеціалісти з безпеки попереджають, що користувачі, які покладаються на програмні гаманці, можуть бути особливо вразливими, тоді як користувачі апаратних гаманців, які підтверджують кожну транзакцію, захищені. Наразі невідомо, чи буде це шкідливе програмне забезпечення безпосередньо красти фрази відновлення. Ситуація розвивається, і ми надамо більше інформації, коли отримаємо її.