Dijital varlık güvenliği alanında dünya liderlerinden Ledger, yazılım ekosisteminde yaşanan büyük çaplı bir güvenlik tehdidi konusunda kullanıcıları uyardı. Ledger’ın Baş Teknoloji Sorumlusu (CTO) Charles Guillemet, saygın bir geliştiricinin NPM (Node Package Manager) hesabının ele geçirilmesiyle başlayan tedarik zinciri saldırısının milyonlarca kullanıcıyı etkileyebilecek potansiyele sahip olduğunu açıkladı.
Guillemet’in paylaştığı rapora göre chalk, strip-ansi, color-convert ve qix gibi popüler paketlerin kötü amaçlı sürümleri yayımlandı. Bu paketler haftalık 1 milyardan fazla indirme sayısına sahip. Paketlere yerleştirilen kötü amaçlı kod, kripto cüzdan adreslerini işlemler sırasında sessizce değiştirerek kullanıcıların farkında olmadan saldırganlara para göndermesine yol açabiliyor.
Kamuoyu tepkisi
Saldırının ardından yazılım geliştiriciler ve kripto toplulukları sosyal medyada yoğun tepki gösterdi. Kullanıcılar, açık kaynak ekosisteminde güvenlik açıklarının daha ciddi ele alınması gerektiğini vurguladı.
“Donanım cüzdanı kullanmamak her şeyi kaybetme riskini taşıyor”
Guillemet, saldırının ciddiyetine dikkat çekerek şu açıklamayı yaptı:
“Neyse ki saldırgan birkaç hata yaptı ve saldırı neredeyse başarısız oldu. Bu bir black swan olabilirdi. Donanım cüzdanı kullanmıyorsanız, tek bir kötü amaçlı kod tüm varlıklarınızı kaybetmenize neden olabilir.”
Ledger güvenlik mimarisini öne çıkardı
Ledger, yaptığı açıklamada kullanıcıların bu tür saldırılardan korunması için geliştirdiği güvenlik mimarisini vurguladı. Şirket, Secure Element çipiyle donatılmış cihazlarının, Clear Signing ve Transaction Check özellikleri sayesinde işlem detaylarını şeffaf biçimde sunduğunu ve özel anahtarların her koşulda korunduğunu belirtti.
Uzmanlar, kullanıcıların özellikle açık kaynak paketleri güncel sürümlerine sabitlemesi, bağımlılıklarını düzenli olarak denetlemesi ve kripto işlemlerinde donanım cüzdanı kullanması gerektiğinin altını çiziyor.
