Supply Chain Poison: เมื่อการอัปเดตที่เชื่อถือได้กลายเป็นมัลแวร์

บทสรุป: คุณระวังตัวมาก คุณไม่เข้าเว็บโป๊ คุณไม่โหลดโปรแกรมเถื่อน คุณแค่อัปเดตซอฟต์แวร์ที่ถูกต้องตามกฎหมาย และคุณก็โดนแฮ็ก นี่คือฝันร้ายของ "Ledger Connect Kit" hack และวิธีป้องกันตัวจากแหล่งที่มาที่เชื่อถือได้

1. เหตุการณ์ Ledger Connect Kit

เดือนธันวาคม 2023 โลกคริปโตหยุดหายใจ

Ledger ไม่ได้ถูกแฮ็กโดยตรง แต่ Library ที่ Ledger ใช้ต่างหากที่โดน

อดีตพนักงานคนหนึ่งตกเป็นเหยื่อของ Phishing แฮ็กเกอร์เข้าถึงบัญชี NPM ของเขาและอัปโหลดโค้ดอันตรายใส่ในไลบรารี @ledgerhq/connect-kit

ทันใดนั้น ทุกเว็บไซต์ (SushiSwap, Revoke.cash ฯลฯ) ที่ใช้ไลบรารีนี้เวอร์ชันล่าสุด ก็เริ่มแสดง Popup กระเป๋าเงินปลอมๆ ให้ผู้ใช้อัตโนมัติ

ผู้ใช้ไม่ได้ทำอะไรผิด พวกเขาเข้าเว็บที่ถูกต้อง แต่เว็บนั้นโหลด "Supply Chain" ที่เป็นพิษเข้ามา

2. มันทำงานอย่างไร

ซอฟต์แวร์สมัยใหม่เหมือนตัวต่อ Lego นักพัฒนาไม่ได้เขียนโค้ดเองทั้งหมด พวกเขาดึง "Dependencies" (ไลบรารี) มาจากคนอื่น

• แอปของคุณใช้ไลบรารี A
• ไลบรารี A ใช้ไลบรารี B
• ไลบรารี B ถูกแฮ็ก

แฮ็กเกอร์ชอบวิธีนี้ เพราะแฮ็กไลบรารีเดียว ได้เหยื่อนับล้านคนพร้อมกัน

3. วิธีป้องกัน (สำหรับผู้ใช้)

เราจะป้องกันสิ่งที่ Tech Giant ยังพลาดได้อย่างไร?

กฎ "รอก่อน" (The Wait Rule)

เมื่อมีการอัปเดตใหญ่ หรือฟีเจอร์ใหม่ อย่าเป็นคนแรกที่กดอัปเดต

ให้เวลาชุมชน (และ Twitter/X Crypto Security) ตรวจสอบสัก 24-48 ชั่วโมง ถ้ามี Supply Chain Attack ข่าวจะแพร่สะพัดเร็วมาก

เช็คหลายแหล่ง

ถ้า dApp ตัวโปรดของคุณขอให้ Enalbe หรือ Approve อะไรแปลกๆ

1. เช็ค Twitter ของพวกเขา
2. เช็ค Discord
3. เช็ค Twitter ของนักวิจัยความปลอดภัย (เช่น @zachxbt)

ถ้าทุกที่เงียบ... ก็อาจจะปลอดภัย แต่ถ้าทุกคนกำลังกรีดร้องว่า "DO NOT CONNECT" คุณก็จะรอด

บทสรุป

ในโลกที่เชื่อมต่อกัน ความปลอดภัยของคุณขึ้นอยู่กับลิงก์ที่อ่อนแอที่สุดในห่วงโซ่ บางครั้ง "การเป็นคนล้าหลัง" (Late Adopter) ที่ไม่อัปเดตทันที อาจจะปลอดภัยกว่าผู้นำเทรนด์