Про це отруєння ланцюга поставок npm: Супроводжуючий npm Qix був точно активований соціальним працівником, який натиснув на фальшивий електронний лист про скидання 2FA, що призвело до витоку дозволів. Потім зловмисник використовував свій обліковий запис для надсилання нової версії з бекдором, включаючи крейду, налагодження та інші базові бібліотеки верхнього рівня. Ця атака має великий вплив. Перш за все, вона сильно прихована. Перша половина зберігає нормальну функціональність і не відразу повідомляє про помилку. Корисне навантаження збиває з пантелику, а статичні аудити важко виявити. Хакери навіть піддалися шахрайству з fetch, XMLHttpRequest, ethereum.request і навіть інструменти для налагодження. По-друге, ефект атаки смертельно небезпечний. Підміна адреси не є випадковою зміною, а найближча адреса зловмисника розраховується за допомогою відстані Левенштейна, яку майже не відрізнити неозброєним оком. Він також спеціально адаптований для маршрутизаторів DEX, і більшість свопів можуть бути викрадені; Повернення – це все одно підроблена успішна відповідь, і як розробники, так і користувачі подумають, що транзакція в порядку, але насправді кошти вже переведені. Якби не апаратний гаманець, який зміг підтвердити це двічі під час останнього стрибка, багато людей могли б не знати, як зникли гроші. Якщо ви використовуєте гаманець OneKey App: Це зовсім не стосується. Якщо ви використовуєте програму OneKey + обладнання OneKey: це безпечніше, а також абсолютно не впливає. Якщо ви використовуєте обладнання OneKey + інші програми постачальника: Обов'язково двічі підтвердьте адресу та суму на екрані обладнання. Апаратний аналіз – це остаточне рішення, яке може врятувати життя в критичні моменти. Не довіряйте веб-сторінкам або плагінам, доки не буде офіційного звіту або виправлення. Вище.