Атака NPM: Я зламав, але ніхто не отримав моїх даних користувача

Я щойно дізнався про цю масивну атаку на ланцюг постачання NPM, яка вразила екосистему JavaScript, і, чоловіче, я не можу повірити, на що ці хакери намагалися піти. Понад 2 мільярди щотижневих завантажень додатків могли бути під загрозою! Як людина, у якої криптоактиви зберігаються на кількох платформах, я переживав, коли почув про це.

Коли я побачив, що моя платформа не постраждала, я з полегшенням зітхнув. Вони опублікували на X, що "жодні дані або активи клієнтів не під загрозою." Слава Богу. Після катастрофи FTX я став параноїком щодо безпеки платформ.

Атака була досить складною - ці хакери скомпрометували якогось бідного розробника на ім'я Джош Жунон через хитроумний фішинговий лист. Вони змусили його думати, що його обліковий запис буде заблоковано, якщо він не оновить свій 2FA. Класичний хід, але ефективний. Мені неприємно зізнатися, але я, можливо, також попався на це.

Досить тривожно те, як працював шкідливий код. Він спеціально націлювався на крипто-транзакції, спостерігаючи за адресами гаманців в Bitcoin, Ethereum, Solana та інших. Після виявлення він тихо замінював адресу призначення на гаманець зловмисника. Підступні виродки.

Найбільш здивуюча частина? Досі було вкрадено криптовалюти лише на $159 . Це нічого! Але не дайте себе обманути - з мільярдами завантажень цих скомпрометованих пакетів це могло б бути катастрофічно.

Коментар CZ дійсно вразив: "Навіть програмне забезпечення з відкритим кодом сьогодні не є безпечним. Web3 перепише правила безпеки для Web2." Легко йому так казати тепер, коли він вирішив свої юридичні проблеми, але він правий. Ми сліпо довіряємо стільки інфраструктури, що навіть не замислюємось про це.

Ця вся плутанина саме тому, чому я зберігаю більшість своїх криптовалют у холодному зберіганні. Безпека Web2 в основному порушена, і ми всі просто сидимо на місці, чекаючи на наступну атаку.