Zatrucie Łańcucha Dostaw: Kiedy zaufane aktualizacje stają się malwarem
Streszczenie: Jesteś super ostrożny. Nie wchodzisz na pirackie strony. Używasz tylko legalnego oprogramowania. I i tak zostajesz zhakowany. To koszmar hacka "Ledger Connect Kit" i sposób na ochronę przed zaufanymi źródłami.
1. Incydent Ledger Connect Kit
W grudniu 2023 roku świat krypto wstrzymał oddech.
Ledger nie został zhakowany bezpośrednio. Zhakowana została Biblioteka, której używał Ledger.
Były pracownik padł ofiarą phishingu. Hakerzy uzyskali dostęp do jego konta NPM i przesłali złośliwy kod do biblioteki @ledgerhq/connect-kit.
Nagle każda strona internetowa (SushiSwap, Revoke.cash itp.), która używała najnowszej wersji tej biblioteki, zaczęła automatycznie pokazywać użytkownikom fałszywe okno portfela.
Użytkownicy nie zrobili nic złego. Weszli na właściwą stronę, ale ta strona załadowała zatruty "Łańcuch Dostaw".
2. Jak to działa
Nowoczesne oprogramowanie jest jak klocki Lego. Deweloperzy nie piszą całego kodu sami. Pobierają "Zależności" (Dependencies/Biblioteki) od innych.
- Twoja aplikacja używa Biblioteki A.
- Biblioteka A używa Biblioteki B.
- Biblioteka B została zhakowana.
Hakerzy kochają tę metodę, bo zhakowanie jednej biblioteki daje im miliony ofiar jednocześnie.
3. Jak się chronić (Dla Użytkowników)
Jak chronić się przed czymś, co przeoczają nawet giganci technologiczni?
Reguła "Poczekaj" (The Wait Rule)
Kiedy pojawia się duża aktualizacja lub nowa funkcja, nie bądź pierwszym, który aktualizuje.
Daj społeczności (i ekspertom od bezpieczeństwa na Twitterze/X) 24-48 godzin na weryfikację. Jeśli jest atak na łańcuch dostaw, wieści rozchodzą się błyskawicznie.
Podwójne Sprawdzenie
Jeśli twoja ulubiona dApp prosi o włączenie (Enable) lub zatwierdzenie (Approve) czegoś dziwnego:
- Sprawdź ich Twittera.
- Sprawdź ich Discorda.
- Sprawdź Twittery badaczy bezpieczeństwa (jak @zachxbt).
Jeśli wszędzie jest cicho... prawdopodobnie jest bezpiecznie. Ale jeśli wszyscy krzyczą "NIE ŁĄCZ SIĘ" (DO NOT CONNECT), to jesteś uratowany.
Wnioski
W połączonym świecie twoje bezpieczeństwo zależy od najsłabszego ogniwa. Czasem bycie "Późnym Użytkownikiem" (Late Adopter), który nie aktualizuje od razu, jest bezpieczniejsze niż bycie trendsetterem.
Powiązane Artykuły
Papierowa Tarcza (The Paper Shield): Jak poprawnie zabezpieczyć Seed Phrase
Zrzuty ekranu to katastrofa. Chmura to komputer kogoś innego. Jedyny bezpieczny sposób na przechowywanie kluczy prywatnych to 'Stal' i 'Papier'.
Długa Gra (The Long Con): Psychologia 'Rzezi Świń'
Nie napisała pod zły numer. I nie jest w tobie zakochana. Poznaj 'Sha Zhu Pan', najbardziej brutalne oszustwo w krypto, i dowiedz się, jak rozpoznać scenariusz.
Nie Handluj Tam, Gdzie Grasz: Dlaczego potrzebujesz oddzielnego laptopa do krypto
Twoje PC do gier jest pełne tylnych furtek. Twój telefon jest pełen trackerów. Dlaczego zakup oddzielnego 'urządzenia bankowego' za 200 USD to najlepsze ubezpieczenie.