Ledger Bosh texnologiya direktori NPM akkaunti buzilgandan so‘ng hamyon egalari haqida ogohlantirdi

• Millionlab foydalanuvchi ishlatadigan JavaScript vositalariga katta hujum amalga oshirildi, bu kripto platformalarini ham qamrab oldi.
• Ledger CTO foydalanuvchilarga har bir tranzaksiyani tekshirishni va ko‘r-ko‘rona imzolashdan saqlanishni tavsiya qildi.
• Dasturchilarga paketlarni himoya qilish va tuzatishlar yakunlanmaguncha avtomatik yangilanishlarni to‘xtatish tavsiya etildi.

JavaScript ekotizimiga qaratilgan keng ko‘lamli supply chain hujumi kripto sanoatini larzaga soldi va infratuzilmaning zaif bog‘liqliklarini ochib berdi. 2025-yil 8-sentabr kuni Ledger’ning Bosh texnologiya direktori Charles Guillemet, hujumchilar mashhur dasturchining NPM (Node Package Manager) akkauntini buzganini tasdiqladi. Ushbu buzilgan akkaunt orqali xakerlar keng qo‘llaniladigan JavaScript paketlariga “crypto-clipper” zararli dasturini joylashtirishga muvaffaq bo‘lishdi. 

Ushbu zararlangan kutubxonalar, jumladan chalk, debug, strip-ansi va color-convert, jami bir milliarddan ortiq yuklab olishga ega bo‘lib, ta’sir ko‘lamining ulkanligini ko‘rsatadi. Guillemet’ga ko‘ra, zararli kod tranzaksiya vaqtida kripto hamyon manzillarini yashirincha almashtirib, mablag‘larni hujumchi nazoratidagi akkauntlarga yuboradi. Bu esa, foydalanuvchilar tranzaksiyani haqiqiy deb o‘ylab, o‘z aktivlarini bilmagan holda yo‘qotishlariga olib keladi.

Ta’sirlangan vositalar mutlaqo noma’lum emas edi. Chalk va Debug kabi kutubxonalar ko‘plab markazlashmagan ilovalar va kripto platformalarini qo‘llab-quvvatlaydi va ekotizimning kundalik ishlashida muhim rol o‘ynaydi. Ushbu kutubxonalar buzilishi, bitta buzilish millionlab hamyon va ilovalarga tezda ta’sir qilishi mumkinligini ko‘rsatdi.

Ledger CTOdan Shoshilinch Ogohlantirishlar

Guillemet qaysi dasturchining akkaunti buzilganini ochiqlamadi. Biroq u tahdid keng ko‘lamli ekanini aniq aytdi. “Bu keng ko‘lamli supply chain hujumi. Butun JavaScript ekotizimi xavf ostida bo‘lishi mumkin,” deb yozdi u rasmiy ogohlantirishida.

U Clear Signing’ni qo‘llab-quvvatlaydigan xavfsiz ekranli hardware walletlardan foydalanish muhimligini ta’kidladi. “Bunga qarshi kurashishning yagona ishonchli yo‘li — bu Clear Signing’ni qo‘llab-quvvatlaydigan xavfsiz ekranli hardware walletdan foydalanish,” dedi u. “Bu foydalanuvchiga mablag‘lar yuborilayotgan manzillarni aniq ko‘rish va ular mo‘ljallangan manzillar bilan mos kelishini ta’minlash imkonini beradi.”

U davom etdi: “Xavfsiz ekransiz hardware walletlar va Clear Signing’ni qo‘llab-quvvatlamaydigan har qanday hamyon yuqori xavf ostida, chunki tranzaksiya tafsilotlarini to‘g‘ri tekshirishning iloji yo‘q.”

Oxirida u keng ogohlantirish berdi: “Bu hammaga eslatma bo‘lishi kerak: har doim tranzaksiyalaringizni tekshiring, ko‘r-ko‘rona imzolamang, xavfsiz ekranli hardware walletdan foydalaning va hamma narsani Clear Sign qiling.”

Dasturchilarning Javobi va Kengroq Oqibatlar

Ushbu oshkorlikdan so‘ng, dasturchilarga xavfsiz versiyalardagi bog‘liqliklarni mahkamlash, lockfile’larni himoya qilish va yangi ogohlantirishgacha avtomatik yangilanishlarni to‘xtatish tavsiya qilindi. Bu ehtiyot choralar ekotizim bo‘ylab audit va tozalash ishlari davom etar ekan, zarar ko‘lamini cheklash uchun mo‘ljallangan. Kripto dasturchilar hamjamiyatidagi taniqli shaxslar ham foydalanuvchilarga zaifliklar bartaraf etilmaguncha kripto veb-saytlari bilan ishlamaslikni maslahat berishdi.

Related: Ripple Dasturchilari Kaiko Baholashiga Qarshi XRP Ledger’ni Himoya Qilmoqda

Ushbu voqea Ledger kabi muhim hamyon provayderlari ham o‘z nazoratidan tashqaridagi dasturiy qatlamlarga tayanishini ko‘rsatdi. Agar bunday qatlamlar buzilsa, natijaviy zarar halokatli bo‘lishi mumkin. Millionlab foydalanuvchilar va milliardlab raqamli qiymatlar bir necha soat ichida xavf ostida qolishi mumkin.

NPM Hujumi Bo‘yicha Yangilanish

Guillemet’ning so‘nggi yangilanishiga ko‘ra, hujum muvaffaqiyatsiz tugadi va deyarli qurbonlar bo‘lmadi. Hujum soxta npm support domenidan yuborilgan fishing email orqali boshlandi, bu orqali xakerlar login ma’lumotlarini o‘g‘irlab, zararli paket yangilanishlarini joylashtirish imkoniga ega bo‘lishdi. Joylashtirilgan kod web kripto faoliyatini nishonga olib, Ethereum, Solana va boshqa tarmoqlarga ulanib, tranzaksiyalarni to‘g‘ridan-to‘g‘ri tarmoq javoblarida hamyon manzillarini almashtirish orqali o‘zlashtirishga harakat qildi. Biroq, xakerlarning xatolari CI/CD pipeline’larda nosozliklarga olib keldi va bu erta aniqlanish hamda zarar ko‘lamining cheklanishiga sabab bo‘ldi.

Guillemet ta’kidladi: agar mablag‘laringiz dasturiy hamyonda yoki birjada bo‘lsa, hammasini yo‘qotish uchun bitta kod bajarilishi kifoya. Supply chain buzilishlari zararli dastur yetkazib berishda kuchli vosita bo‘lib qolmoqda va nishonli hujumlar soni ortmoqda. U, shuningdek, hardware walletlar bunday tahdidlarga bardosh bera olishini qayd etdi. Clear Signing kabi funksiyalar sizga aynan nima sodir bo‘layotganini tasdiqlash imkonini beradi, Transaction Checks esa shubhali faoliyatni o‘z vaqtida aniqlaydi.

Ledger CTO Warns Wallet Holders After NPM Account Hack maqolasi dastlab Cryptotale’da chop etilgan.