Jed Dodavatelského Řetězce: Když se důvěryhodné aktualizace stanou malwarem
Shrnutí: Jste super opatrní. Nenavštěvujete stinné stránky. Nepináte software. Aktualizujete pouze legitimní software. A přesto vás hacknou. Toto je noční můra hacku 'Ledger Connect Kit' a jak se chránit před důvěryhodnými zdroji.
1. Incident Ledger Connect Kit
V prosinci 2023 svět kryptoměn zadržel dech.
Ledger nebyl hacknut přímo. Byla hacknuta knihovna, kterou Ledger používal.
Bývalý zaměstnanec naletěl na phishing. Hackeři získali přístup k jeho účtu NPM a nahráli škodlivý kód do knihovny @ledgerhq/connect-kit.
Najednou každá webová stránka (SushiSwap, Revoke.cash atd.), která používala nejnovější verzi této knihovny, začala uživatelům automaticky zobrazovat falešné vyskakovací okno peněženky.
Uživatelé neudělali nic špatného. Šli na správnou stránku, ale stránka načetla otrávený "Dodavatelský Řetězec" (Supply Chain).
2. Jak to funguje
Moderní software je jako Lego. Vývojáři nepíší veškerý kód sami. Tahají "Závislosti" (Dependencies/Knihovny) od ostatních.
- Vaše aplikace používá Knihovnu A.
- Knihovna A používá Knihovnu B.
- Knihovna B je kompromitována.
Hackeři tuto metodu milují, protože hacknutí jedné knihovny jim dává miliony obětí najednou.
3. Jak se chránit (Pro Uživatele)
Jak se chráníme před něčím, co obchází i technologické giganty?
Pravidlo "Počkej" (The Wait Rule)
Když vyjde velká aktualizace nebo nová funkce, nebuďte první, kdo aktualizuje.
Dejte komunitě (a Twitter/X Crypto Security) 24-48 hodin na ověření. Pokud jde o Supply Chain Attack, zprávy se rozšíří bleskovou rychlostí.
Dvojitá Kontrola
Pokud vás vaše oblíbená dApp požádá, abyste Povolili (Enable) nebo Schválili (Approve) něco divného:
- Zkontrolujte jejich Twitter.
- Zkontrolujte jejich Discord.
- Zkontrolujte bezpečnostní výzkumníky na Twitteru (jako @zachxbt).
Pokud je všude ticho... je to pravděpodobně bezpečné. Ale pokud všichni křičí "NEPŘIPOJUJTE SE" (DO NOT CONNECT), právě jste byli zachráněni.
Závěr
V propojeném světě závisí vaše bezpečnost na nejslabším článku. Někdy je bezpečnější být "Pozdní Osvojitel" (Late Adopter), který neaktualizuje hned, než být průkopníkem.
Související články
Papírový Štít (The Paper Shield): Jak správně zálohovat Seed Phrase
Screenshoty jsou katastrofální. Cloud je počítač někoho jiného. Jediný bezpečný způsob uložení vašich soukromých klíčů je 'Ocel' a 'Papír'.
The Long Con: Psychologie za 'Pig Butchering'
Neposlala sms na špatné číslo. A není do tebe zamilovaná. Hluboký ponor do 'Sha Zhu Pan', nejkrutějšího podvodu v kryptu, a jak poznat scénář.
Neobchodujte tam, kde hrajete: Proč potřebujete samostatný Crypto notebook
Váš herní počítač je plný zadních vrátek. Váš telefon je plný sledovacích zařízení. Proč je nákup samostatného 'bankovního zařízení' za $200 tou nejlepší pojistkou, kterou si můžete pořídit.