Supply Chain Poison: Kun luotetut päivitykset muuttuvat haittaohjelmiksi
Tiivistelmä: Olet supervarovainen. Et käy hämärillä sivuilla. Et käytä piraattiohjelmistoja. Päivität vain laillisia ohjelmistoja. Ja silti sinut hakkeroidaan. Tämä on painajainen "Ledger Connect Kit" -hakkeroinnista ja kuinka suojaudut luotetuilta lähteiltä.
1. Ledger Connect Kit -tapaus
Joulukuussa 2023 kryptomaailma pidätti hengitystään.
Ledgeriä ei hakkeroitu suoraan. Kirjasto, jota Ledger käytti, hakkeroitiin.
Entinen työntekijä lankesi phishingiin. Hakkerit pääsivät käsiksi hänen NPM-tiliinsä ja latasivat haitallista koodia kirjastoon @ledgerhq/connect-kit.
Yhtäkkiä jokainen verkkosivusto (SushiSwap, Revoke.cash jne.), joka käytti tämän kirjaston uusinta versiota, alkoi automaattisesti näyttää väärennettyä lompakko-popupia käyttäjille.
Käyttäjät eivät tehneet mitään väärin. He menivät oikealle sivulle, mutta sivu latasi myrkyllisen "Toimitusketjun" (Supply Chain).
2. Kuinka se toimii
Nykyaikainen ohjelmisto on kuin Lego. Kehittäjät eivät kirjoita kaikkea koodia itse. He hakevat "Riippuvuuksia" (Dependencies/Kirjastoja) muilta.
- Sovelluksesi käyttää Kirjastoa A.
- Kirjasto A käyttää Kirjastoa B.
- Kirjasto B on hakkeroitu.
Hakkerit rakastavat tätä menetelmää, koska kirjaston hakkerointi antaa heille miljoonia uhreja kerralla.
3. Kuinka suojautua (Käyttäjille)
Kuinka suojaudumme joltakin, jonka jopa teknologiajätit ohittavat?
Sääntö "Odota" (The Wait Rule)
Kun tulee suuri päivitys tai uusi ominaisuus, älä ole ensimmäinen päivittäjä.
Anna yhteisölle (ja Twitter/X Crypto Securitylle) 24-48 tuntia aikaa vahvistaa. Jos kyseessä on Supply Chain Attack, uutinen leviää salamannopeasti.
Kaksoistarkistus
Jos suosikki-dAppisi pyytää Ottamaan käyttöön (Enable) tai Hyväksymään (Approve) jotain outoa:
- Tarkista heidän Twitter.
- Tarkista heidän Discord.
- Tarkista turvallisuustutkijat Twitterissä (kuten @zachxbt).
Jos kaikkialla on hiljaista... se on luultavasti turvallista. Mutta jos kaikki huutavat "ÄLÄ YHDISTÄ" (DO NOT CONNECT), olet pelastunut.
Johtopäätös
Yhdistetyssä maailmassa turvallisuutesi riippuu heikoimmasta lenkistä. Joskus on turvallisempaa olla "Myöhäinen Omaksuja" (Late Adopter), joka ei päivitä heti, kuin olla suunnannäyttäjä.
Aiheeseen liittyvät artikkelit
Paperikilpi (The Paper Shield): Kuinka varmuuskopioida Seed Phrase oikein
Kuvakaappaukset ovat katastrofaalisia. Pilvi on jonkun muun tietokone. Ainoa tapa säilyttää yksityiset avaimesi on 'Teräs' ja 'Paperi'.
The Long Con: 'Pig Butchering' -huijauksen psykologia
Hän ei lähettänyt viestiä väärään numeroon. Eikä hän ole rakastunut sinuun. Sukellus 'Sha Zhu Paniin', kryptovaluuttojen julmimpaan huijaukseen, ja kuinka tunnistat käsikirjoituksen.
Älä käy kauppaa siellä missä pelaat: Miksi tarvitset erillisen krypto-läppärin
Pelikoneesi on täynnä takaovia. Puhelimesi on täynnä seurantaohjelmia. Miksi 200 dollarin erillisen 'pankkilaitteen' ostaminen on paras vakuutus, jonka voit saada.