【Bloquear律动】9 de septiembre, el director técnico de Ledger, Charles Guillemet, publicó una actualización que dice: "Últimos avances del ataque NPM: afortunadamente, el ataque no tuvo éxito y casi no hubo víctimas."
El ataque comenzó con un correo electrónico de phishing disfrazado como un dominio de soporte de npm, robando credenciales de usuario y permitiendo a los atacantes publicar actualizaciones de paquetes maliciosos. El código inyectado apunta a actividades de cifrado en la red, infiltrándose en cadenas como Ethereum, Solana, secuestrando transacciones y reemplazando direcciones de billetera directamente en las respuestas de la red. Un error de los atacantes llevó al colapso de la tubería CI/CD, permitiendo así una detección temprana, con un impacto limitado.
A pesar de ello, este es un recordatorio claro: si tus fondos están almacenados en un monedero de software o en un intercambio, con solo una ejecución de código, podrías perderlo todo. Los ataques a la cadena de suministro siguen siendo una poderosa vía de propagación de malware, y también hemos visto un aumento en los ataques dirigidos.
Las carteras de hardware están diseñadas específicamente para resistir este tipo de amenazas. Funciones como "firma clara" te permiten confirmar con precisión el contenido de la transacción, mientras que la función de "verificación de transacciones" puede marcar actividades sospechosas antes de que surjan problemas. El peligro inmediato puede haber pasado, pero la amenaza sigue existiendo. Mantente seguro.
Hoy más temprano, se reportó que está ocurriendo un ataque masivo a la cadena de suministro: la cuenta de NPM de un conocido desarrollador ha sido comprometida. La cantidad de descargas del paquete afectado ha superado los 1,000 millones, lo que significa que todo el ecosistema de JavaScript podría estar en riesgo.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
10 me gusta
Recompensa
10
4
Republicar
Compartir
Comentar
0/400
Lonely_Validator
· hace13h
Cartera fría es la única segura.
Ver originalesResponder0
SatoshiLegend
· hace13h
La seguridad de la cadena de suministro sigue siendo un eslabón débil... métodos clásicos de ingeniería social.
Ver originalesResponder0
SignatureDenied
· hace14h
Siempre habrá problemas, ¿quién puede soportar este riesgo?
Ver originalesResponder0
CryptoNomics
· hace14h
*ajusta las gafas* estadísticamente hablando, los desarrolladores amateurs con mala seguridad operativa prácticamente están pidiendo a gritos exploits en la cadena de suministro... la probabilidad de compromiso se acerca a 1
Ledger CTO: El ataque a la cadena de suministro de NPM no tuvo éxito, la seguridad del monedero de hardware vuelve a captar la atención.
【Bloquear律动】9 de septiembre, el director técnico de Ledger, Charles Guillemet, publicó una actualización que dice: "Últimos avances del ataque NPM: afortunadamente, el ataque no tuvo éxito y casi no hubo víctimas."
El ataque comenzó con un correo electrónico de phishing disfrazado como un dominio de soporte de npm, robando credenciales de usuario y permitiendo a los atacantes publicar actualizaciones de paquetes maliciosos. El código inyectado apunta a actividades de cifrado en la red, infiltrándose en cadenas como Ethereum, Solana, secuestrando transacciones y reemplazando direcciones de billetera directamente en las respuestas de la red. Un error de los atacantes llevó al colapso de la tubería CI/CD, permitiendo así una detección temprana, con un impacto limitado.
A pesar de ello, este es un recordatorio claro: si tus fondos están almacenados en un monedero de software o en un intercambio, con solo una ejecución de código, podrías perderlo todo. Los ataques a la cadena de suministro siguen siendo una poderosa vía de propagación de malware, y también hemos visto un aumento en los ataques dirigidos.
Las carteras de hardware están diseñadas específicamente para resistir este tipo de amenazas. Funciones como "firma clara" te permiten confirmar con precisión el contenido de la transacción, mientras que la función de "verificación de transacciones" puede marcar actividades sospechosas antes de que surjan problemas. El peligro inmediato puede haber pasado, pero la amenaza sigue existiendo. Mantente seguro.
Hoy más temprano, se reportó que está ocurriendo un ataque masivo a la cadena de suministro: la cuenta de NPM de un conocido desarrollador ha sido comprometida. La cantidad de descargas del paquete afectado ha superado los 1,000 millones, lo que significa que todo el ecosistema de JavaScript podría estar en riesgo.