Shambulio la mnyororo wa ugavi unaolenga vipengele muhimu vya mfumo ikolojia wa maendeleo wa Ethereum limeathiri Nomic Foundation na majukwaa ya Hardhat. Wavamizi walijipenyeza kwenye mfumo ikolojia kwa kutumia vifurushi hasidi vya npm, wakitoa data nyeti kama vile funguo za faragha, kumbukumbu na faili za usanidi. Maelezo ya Mashambulizi na Mbinu Shambulio hili, lililogunduliwa na Socket, linahusisha usambazaji wa vifurushi 20 vya npm hasidi vilivyoundwa na waandishi watatu wa msingi. Kifurushi kimoja, @nomicsfoundation/sdk-test, kilipakuliwa mara 1092. Ukiukaji huo unafichua mazingira ya maendeleo kwa milango ya nyuma, kuhatarisha hasara za kifedha na kunaweza kusababisha mifumo ya uzalishaji kuathirika. Washambuliaji walitumia mikataba mahiri ya Ethereum ili kudhibiti anwani za seva za amri na udhibiti (C2). Mbinu hii inaboresha mali za blockchain zilizogatuliwa na zisizobadilika, na kutatiza juhudi za kutatiza miundombinu. Mkataba mmoja kama huo, haswa, ulitoa anwani za C2 kwa mifumo iliyoambukizwa. Mbinu ya uigaji inayotumiwa na washambuliaji inaiga programu-jalizi halali za Hardhat, wakijipachika kwenye msururu wa usambazaji. Mifano ni pamoja na vifurushi hasidi vinavyoitwa @nomisfoundation/hardhat-configure na @monicfoundation/hardhat-config, vinavyofanana kwa karibu na programu-jalizi halisi za Hardhat. Vifurushi hivi vya udanganyifu vinalenga michakato ya ukuzaji kama vile kusambaza, uboreshaji wa gesi na majaribio mahiri ya mikataba. Soma zaidi kuhusu kuzuia mashambulizi ya msururu wa ugavi katika programu huria: RSAC: Mikakati Tatu ya Kuimarisha Usalama wa Chanzo Huria Mifanano muhimu kati ya programu-jalizi mbovu na halali ni pamoja na utumiaji wa kanuni za kutaja zinazofanana kwa karibu na programu jalizi za Hardhat, madai ya kutoa viendelezi muhimu na kulenga michakato sawa ya maendeleo. Zaidi ya hayo, aina zote mbili za programu-jalizi hutumia uaminifu wa wasanidi programu kwa kupangishwa kwenye npm. Programu-jalizi hasidi, hata hivyo, hutumia vyema Mazingira ya Hardhat Runtime (HRE), kwa kutumia vitendaji kama vile hreInit() na hreConfig() kukusanya na kutoa data nyeti, ikijumuisha funguo za faragha na kumbukumbu. Mtiririko wa mashambulizi huanza na ufungaji wa vifurushi vilivyoathirika. Vifurushi hivi hutumia HRE vibaya kwa kutumia vipengele vilivyotajwa kukusanya data nyeti. Kisha data husimbwa kwa njia fiche kwa ufunguo uliofafanuliwa awali wa AES na kutumwa kwenye sehemu za mwisho zinazodhibitiwa na washambulizi. Hatua za Kuzuia kwa Wasanidi Programu wanahimizwa kufuata mazoea madhubuti ya ukaguzi na ufuatiliaji ili kulinda mazingira yao ya maendeleo. Utekelezaji wa hatua kama vile kupata usimamizi uliobahatika wa ufikiaji, kupitisha usanifu wa sifuri na kufanya tathmini za usalama za mara kwa mara kunaweza kupunguza kwa kiasi kikubwa hatari ya mashambulizi ya ugavi. Zaidi ya hayo, kudumisha muswada wa vifaa vya programu (SBOM) na kuimarisha mazingira ya ujenzi kunapendekezwa mikakati ya kuimarisha usalama. Kwa kujumuisha mbinu hizi, wasanidi programu wanaweza kupunguza kwa kiasi kikubwa hatari ya mashambulizi ya ugavi na kuimarisha usalama wa jumla wa michakato yao ya kutengeneza programu.
Leave a Reply