На прошлой неделе разработчики JavaScript-библиотеки solana/web3.js сообщили об обнаружении бэкдора, который позволял злоумышленникам красть средства у пользователей. Библиотека входит в набор SDK для блокчейн-платформы Solana и может использоваться разработчиками других приложений, если они хотят реализовать поддержку этой платформы или проводить платежи с использованием связанной криптовалюты SOL. Таким образом, данный инцидент является примером атаки на цепочку поставок, когда взлом одного компонента в итоге приводит к компрометации множества приложений.
Это еще один инцидент, в котором вредоносный код добавлялся в проект с открытым исходным кодом, также с целью дальнейшего внедрения в другие проекты. Библиотека solana/web3.js распространяется через репозиторий NPM, где ее скачивают в среднем 350 тысяч раз в неделю. По данным разработчиков библиотеки, 3 декабря кто-то получил доступ к учетной записи с правами публикации обновлений и в течение нескольких часов выложил целых два обновления со встроенным бэкдором.
Читать дальше →
Все статьи подряд / Информационная безопасность / Хабр