Lieferkettenangriffe im JavaScript-Ökosystem breiten sich schnell auf die Krypto Vermögenswerte-Branche aus. Kürzlich hat das Cybersicherheitsunternehmen Aikido Security enthüllt, dass Malware namens “Sandwurm” mindestens Hunderte von Softwarepaketen infiziert hat, von denen mindestens 10 eng mit Krypto-Projekten verbunden sind.
Der Aikido-Sicherheitsforscher Charlie Erikson erklärte am 6. über den Unternehmensblog, dass über 400 verdächtige infizierte Pakete bestätigt wurden. Er betonte, dass durch manuelle Überprüfung der Infektionsfälle die Fehlalarmquote auf ein Minimum gesenkt wurde.
Dieser Lieferkettenangriff verbreitete sich über das JavaScript-Paketmanagement-Platform NPM-Registry und gehört zu den selbstreplizierenden Malware. Da es sich in Open-Source-Paketen versteckt, die von gewöhnlichen Entwicklern ohne Vorwarnung heruntergeladen und verwendet werden, ist die Infektionsgeschwindigkeit und Reichweite extrem schnell. Besonders betroffen sind mehrere mit Krypto Vermögenswerte-Communities verbundene Pakete, darunter viele beliebte Module, die wöchentlich mehrere tausend Downloads erreichen.
Eriksen gab am selben Tag auf der Plattform X eine Warnung vor einem Infektionsrisiko für den Ethereum-Domain-Service aus. Er wies darauf hin, dass auch einige der Softwarepakete, die von ENS verwendet werden, betroffen sind. ENS, als zentrale Infrastruktur, die Internetadressdienste auf Basis von Ethereum bereitstellt, wird von zahlreichen Krypto-Projekten und NFT-Märkten genutzt.
Lieferkettenangriffe richten sich nicht direkt gegen bestimmte Organisationen, sondern erreichen eine indirekte Durchdringung, indem sie bösartigen Code in weit verbreitete Entwicklungswerkzeuge oder Bibliotheken einfügen. Diese Angriffsart ist schwer zu erkennen und das Schadenspotenzial könnte größer sein, weshalb die Sicherheitsbranche stets wachsam bleibt. Angesichts der Tatsache, dass die meisten auf Open-Source basierenden Krypto Vermögenswerte-Projekte in diesem Vorfall Drittanbieter-Pakete verwenden, steigt die Anspannung auf dem gesamten Markt.
Krypto Vermögenswerte-Entwickler und Unternehmen erwarten, dass sie durch dieses Ereignis Sicherheitsprüfungen für die Abhängigkeit von externen Software-Paketen durchführen und Sicherheitsprotokollmaßnahmen verstärken. Bislang ist das genaue Ausmaß der Verluste noch nicht klar, aber wenn es sich um zentrale Dienstleistungsprojekte wie ENS handelt, könnte die Auswirkungen über einen längeren Zeitraum anhalten.
Der Artikelzusammenfassung wurde von TokenPost.ai bereitgestellt.
🔎 Marktinterpretation
Mit der Open-Source-Technologie, die als Grundpfeiler des offenen Netzwerks dient, und zu einer Quelle von Hackerangriffen wird, treten die Schwächen der dezentralen Technologie erneut zutage. Wenn weit verbreitete Softwarepakete wie Smart Contracts oder Wallet-Backends infiziert werden, könnte dies eine erhebliche Bedrohung für den Schutz der Benutzervermögen darstellen.
💡 Strategische Punkte
-
Überprüfen Sie die Liste der Abhängigkeitspakete der Projekte und verstärken Sie den manuellen Validierungsprozess.
-
Bei der Verwendung von externen Bibliotheken mit neuem Code müssen Sicherheitsprogramme hinzugefügt werden.
-
Es ist notwendig, zentrale Schwachstellendiagnosen für wichtige Infrastrukturen wie ENS durchzuführen.
📘 Begriffserklärung
Lieferkettenangriff: Eine Netzwerkangriffstechnik, die durch Angriffe auf die für das Ziel benötigte Software oder Dienste und nicht durch direkte Angriffe auf das Endziel eine indirekte Eindringung ermöglicht.
NPM: Ein weit verbreitetes Softwarepaketverwaltungssystem im JavaScript-Ökosystem, das von den meisten webbasierten Krypto Vermögenswerte-Projekten verwendet wird.
ENS: Ein System, das komplexe Adressen von Ethereum-Wallets in lesbare Domainnamen umwandelt.
TP AI Hinweise
Dieser Artikel verwendet das Sprachmodell von TokenPost.ai zur Generierung von Artikelzusammenfassungen, was zu Auslassungen wesentlicher Inhalte oder Unstimmigkeiten mit den Fakten führen kann.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
