Nakompronta ng mga hacker ang malawakang ginagamit na JavaScript software libraries<\/strong> sa tinatawag na pinakamalaking supply chain attack<\/strong> sa kasaysayan. Ang na-inject na malware ay iniulat na dinisenyo upang magnakaw ng cryptocurrency<\/strong> sa pamamagitan ng pagpapalit ng mga wallet address at pag-intercept ng mga transaksyon.<\/p>\n Ayon sa ilang ulat noong Lunes, pumasok ang mga hacker sa Node Package Manager (NPM)<\/strong> account ng isang kilalang developer at lihim na nagdagdag ng malware sa mga sikat na JavaScript libraries na ginagamit ng milyun-milyong apps. Ang nakakapinsalang code ay nagpapalit o kumukuha ng mga crypto wallet address, na naglalagay sa bilyong halaga ng mga proyekto sa panganib.<\/p>\n “Mayroong malawakang supply chain attack na nagaganap: ang NPM account ng isang kagalang-galang na developer ay nakompromiso,” binalaan ni Ledger Chief Technology Officer Charles Guillemet<\/strong> noong Lunes. “Ang mga apektadong package ay na-download na ng higit sa 1 bilyong beses, na nangangahulugang ang buong JavaScript ecosystem ay maaaring nasa panganib.”<\/p>\n<\/blockquote>\n Ang paglabag ay nakatuon sa mga package tulad ng [package1]<\/em>, [package2]<\/em>, at [package3]<\/em> \u2014 maliliit na utilities na nakabaon sa mga dependency trees ng hindi mabilang na mga proyekto. Sama-sama, ang mga libraries na ito ay na-download ng higit sa isang bilyong beses bawat linggo, na nangangahulugang kahit ang mga developer na hindi kailanman nag-install ng mga ito nang direkta ay maaaring ma-expose.<\/p>\n Ang NPM ay parang app store<\/strong> para sa mga developer \u2014 isang sentral na library kung saan sila nagbabahagi at nagda-download ng maliliit na code packages upang bumuo ng mga JavaScript projects. Mukhang naglagay ang mga attacker ng isang crypto-clipper<\/strong>, isang uri ng malware na tahimik na nagpapalit ng mga wallet address sa panahon ng mga transaksyon upang ilihis ang mga pondo.<\/p>\n Nagbabala ang mga security researchers na ang mga gumagamit na umaasa sa software wallets<\/strong> ay maaaring maging lalo pang bulnerable, habang ang mga nagkukumpirma ng bawat transaksyon sa isang hardware wallet<\/strong> ay protektado. Mananatiling hindi malinaw kung ang malware ay sinusubukang magnakaw ng mga seed phrases<\/strong> nang direkta. Ito ay isang umuunlad na kwento, at karagdagang impormasyon ay idaragdag habang ito ay nagiging available.<\/p>\n","protected":false},"excerpt":{"rendered":" Malawakang Supply Chain Attack sa JavaScript Libraries Nakompronta ng mga hacker ang malawakang ginagamit na JavaScript software libraries sa tinatawag na pinakamalaking supply chain attack sa kasaysayan. Ang na-inject n…<\/p>\n","protected":false},"author":3,"featured_media":12910,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[42,47],"tags":[4225,10127,5635,4313,9629,4241,9607,4312],"class_list":["post-12911","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-bitcoin","category-hack","tag-bitcoin","tag-charles-guillemet","tag-evm","tag-hack","tag-javascript","tag-ledger","tag-npm","tag-solana"],"yoast_head":"\n\n
Impormasyon Tungkol sa NPM at Malware<\/h2>\n