- Ƙididdigar takaddun shaida na mai kulawa ya ba da damar sabuntawar ɓarna zuwa fakitin NPM da ake amfani da su sosai, tare da zazzagewa sama da biliyan ɗaya.
- Abubuwan biyan kuɗi masu ƙarfi sun yi amfani da masu ɗaukar matakai da yawa da kuma ɓarnawar Base64, suna niyya bututun CI da mahalli masu haɓakawa.
- Tasirin ya kai dubunnan ayyuka na kasa, kodayake satar sarkar ya zuwa yanzu ya bayyana iyakance ga kasa da $200.
- Jagoran tsaro yana jaddada Sa hannu mai tsabta, walat ɗin kayan masarufi tare da amintattun fuska, da tsattsauran tsaftar shaidar NPM/CI.
Labarai na a babban-sikelin karya sarkar samar da NPM masu haɓakawa da masu amfani da crypto iri ɗaya bayan an yi rahoton sace wani asusun mai kula da mutunci, wanda ke ba da damar sakin bayanan baya zuwa cikin yanayin yanayin JavaScript. Gargadin jama'a akan X sun nuna cewa fakitin da abin ya shafa sun taru sama da wani biliyan rayuwa zazzagewa, Haɓakawa ga ƙungiyoyin da suka dogara da dogaro da JS a cikin walat, dApps, dandamali na SaaS, da gina bututun mai.
Tattaunawar farko ta tsara abin da ya faru a matsayin wani juyi akan buga rubutu, amma bincike na gaba yana nuna ƙari. sasantawa da aka yi niyya na takaddun shaidar mai kulawa da kuma buga qeta kayayyaki a ƙarƙashin ingantattun sunaye. Yayin da telemetry zuwa yau ya nuna iyaka akan sata, faɗin fallasa yana nuna yadda saurin buɗaɗɗen hanyoyin samar da kayayyaki za su iya shiga cikin yanayin crypto da na kasuwanci.
Abin da ya faru da kuma dalilin da ya sa yake da muhimmanci
Shugabannin tsaro, ciki har da Ledger CTO Charles Guillemet, sun yi gargaɗin cewa an ƙirƙira wannan mugunyar lambar don a hankali musanya adiresoshin walat ɗin cryptocurrency yayin sanya hannu kan kwarara, mai yuwuwar tura kuɗi zuwa maharan idan masu amfani suka kasa kama canjin. Gargadin ya jaddada cewa kowane dApp ko walat ɗin software yana haɗa fakitin JS da aka lalata za a iya fallasa, ko da app ɗin kanta bai taɓa sarrafa maɓallan kai tsaye ba.
Guillemet kuma ya nanata mafi kyawun ayyuka ga masu amfani da ƙarshe: kauce wa sanya hannu makauniya, kuma sun fi son walat ɗin kayan masarufi tare da amintattun fuska waɗanda ke goyan bayan Share Sa hannu don a tabbatar da adireshin ƙarshen mako akan amintaccen nuni. Wallets waɗanda ba su da amintaccen allo ko share goyan bayan Sa hannu suna a ƙara haɗari saboda babu wata amintacciyar hanya don tabbatar da bayanan ciniki daga ƙarshe zuwa ƙarshe.
Iyaka, yadawa, da maƙasudai
Masu binciken da ke bin kamfen sun lura cewa abubuwan da aka sabunta a baya yaduwa da sauri a cikin jadawali na dogaro, taɓa SaaS na kasuwanci, kayan aikin haɓakawa, har ma da ayyukan ilimi. Ƙididdiga sun nuna cewa 4,500+ ayyuka na ƙasa an sha aƙalla sakin gurɓataccen abu kafin masu kula su mayar da sifofin da abin ya shafa.
Ƙungiyoyi a Wiz.io sun yi alama ayyukan cibiyar sadarwa da ba a saba gani ba wanda ya samo asali daga bututun CI jim kadan bayan daɗaɗɗen ɗakin karatu na yau da kullun - alamar farko wacce za a iya haɗawa da haɓakawa bayan shigarwa ko haɓaka lokaci. Maharan sun jingina a hankali versioning da dabara canje-canje don haɗawa cikin kewayon sakewa na yau da kullun da kuma guje wa tsinkayar gano ainihin rashin ƙarfi.
Yadda kayan aikin mugunta ya yi aiki
An bayar da rahoton cewa sarkar malware ta dogara da a Multi-mataki kamuwa da cuta dabarun. Wani mataki mara kyau bayan shigar da kaya ya debo kaya mai nauyi, wanda sannan ya kai ga yankunan da ke sarrafa maharin don dawo da kaya na mataki na biyu. Don rage ganowa, URLs da tarkacen bayanai an toshe su (misali, Base64) kuma an ba da izinin aiwatar da ka'idojin sharaɗi.
Maimakon lalata bayanai a bayyane, an gwada mataki na biyu masu canjin yanayi da tsarin metadata, shirya ƙafafu da kunna abubuwan zazzagewa masu biyo baya. Masu bincike sun ce mai ɗaukar kaya na iya shigar da a m baya sabis ƙarƙashin bayanin martabar mai amfani, tsirar cirewar kunshin da kiyaye damar shiga cikin sake yi.
Duk da injiniyoyi masu ban tsoro, ƙorafin sarkar da aka gani da ke da alaƙa da aikin sun yi ƙanƙanta ya zuwa yanzu - kawai din din din din din din din din din din din din din din din din din din din din din din din din din din din din din din din din din din din nan $200).. Wannan tsarin yana ba da shawarar bincike da nacewa-gini fiye da samun kuɗi nan take, kodayake ƙirar tana goyan bayan a sarari. satar musanya adireshin a sanya hannu kan ayyukan aiki.
Martani, alamomi, da raguwa
Wiz.io ya ba da rahoton ƙarin alamun sasantawa a cikin shahararrun tsarin CI, gami da URLs da ba a ɓoye ba da kuma tubalan Base64 saka a cikin bututun bututu. Binciken nasu ya yi sauri faci rubutun bututu, babban bincike na NPM tokens, da kuma tsaurara matakan tsaro na jami'an tsaro da abin ya shafa.
A gefen mai siyarwa, OKX Wallet ya bayyana cewa dandalin sa ba a yi tasiri ba. Kamfanin ya ba da haske ga ci gaban iOS/Android na asali don aikace-aikacen wayar hannu (ƙayyade dogaro da JavaScript da aka haɗa), keɓancewa tsakanin haɓaka mai bincike, app ɗin gidan yanar gizo, da abubuwan binciken dApp, da ayyuka masu zurfi na tsaro kamar ajiya mai sanyi 95%, wuraren kashe-kashe na multisig, gano barazanar AI, da 2FA na tilas.
OKX ya kuma bukaci masu amfani da su kasance a faɗake tare da haɗin gwiwar ɓangare na uku: duba lambobin lambobin walat inda zai yiwu, kuma sau biyu duba kowace ma'amala kafin sanya hannu. Halin al'umma ya kasance mai inganci sosai, lura da hakan bayyananne, sadarwar lokaci yana taimakawa ƙunsar firgici da ƙoƙarce-ƙoƙarce na gyara yanayin.
Ga masu kula da ƙungiyoyi, matakai masu amfani yanzu sun haɗa da yana ba da damar 2FA akan NPM, ƙuntatawa da jujjuya alamun samun dama, mafi ƙarancin gata ga CI, ƙulla abin dogaro da tabbatar da mutunci (checksums, provenance/SLSA in akwai), duba rubutun bayan shigar, da kuma sarrafa egress a cikin gine-gine. Ga masu amfani na ƙarshe, walat ɗin kayan masarufi tare da amintattun allo da share Sa hannu sun kasance a abin dogara backstop adawa da magudin adireshin boye.
Labarin yana nuna yadda sulhu ɗaya mai kulawa zai iya cacade ta hanyar NPM wadata sarkar, goge dubunnan ayyukan yayin samar da siginar kuɗi kaɗan kawai. Tsakanin sahihanci, dabarar dagewa, da sigar tsattsauran ra'ayi, masu karewa suna fuskantar maƙiyi da dabara-wanda ke ba da fifiko ga isa da dorewa. Ci gaba da taka tsantsan, nasiha na gaskiya, da sarrafawa mai layi daga haɓakawa zuwa sa hannu zai zama mahimmanci yayin da bincike da tsaftacewa ke ci gaba.
