The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Компрометация NPM-репозитория Ledger привела к подстановке вредоносных изменений"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Компрометация NPM-репозитория Ledger привела к подстановке вредоносных изменений"  +/
Сообщение от opennews (??), 16-Дек-23, 11:21 
Компания Ledger, выпускающая одноимённые аппаратные криптокошельки, раскрыла информацию о компрометации своего NPM-репозитория, которая привела к внедрению вредоносного кода в JavaScript-библиотеку Ledger Connect Kit, применяемую для обеспечения доступа децентрализованных web-приложений к криптокошелькам.  Злоумышленникам удалось выпустить фиктивные версии Connect Kit, в которые был встроен код, подставляющий обманные транзакции для перевода средств с криптокошелька жертвы...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=60294

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 16-Дек-23, 11:21   +4 +/
Хорошая работа.
Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от Аноним (2), 16-Дек-23, 11:26   +4 +/
Ladger был одним из лучших холодных кошельков. Был... Пока они не придумали Ladger Recovery, сервис для распределённого бэкапа seed-фразы в облачных хранилищах. Это полный провал в отношении к защите информации. Закрытый ключ должен только записываться на этапе генерации в чип Secure Element, который должен быть чёрным ящиком, допускающим только отдачу результатов подписывания ключом. Если предусмотрена возможность передачи во вне seed-фразы для резервного копирования, о какой безопасности может идти речь? Если есть возможность программно выгрузить seed, то значит подобный запрос выгрузки можно симулировать во вредоносном ПО.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #46

3. Сообщение от InuYasha (??), 16-Дек-23, 11:30   +/
NeverAgain.js ...и вот опять. Они там с PyPI соревнуются, похоже.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10

5. Сообщение от Аноним (5), 16-Дек-23, 11:43   +2 +/
> В качестве причин успеха атаки упоминается возможность публикации выпусков без прохождения двухфакторной аутентификации, оставление прав доступа у уволенного сотрудника и использование сети доставки контента, не позволяющей привязаться к конкретной проверенной версии библиотеки (приложения всегда использовали самую свежую версию).

Лучшие практики смузи-разработки.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #44

7. Сообщение от Аноним (-), 16-Дек-23, 12:08   +1 +/
Переходим на Tangem Wallet.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

8. Сообщение от nox. (?), 16-Дек-23, 12:40   +1 +/
> приложения всегда использовали самую свежую версию

Так поступают многие проекты через самостоятельное безусловное обновление.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #12

9. Сообщение от morphe (?), 16-Дек-23, 12:42   +/
Фраза восстановления леджера была доступна человеку с самого начала, при его настройке же нужно записать 24 слова, а это ключ и есть (bip39), и именно его предлагает бекапить на сервисе.
Более того, для бекапа этот самый секретный ключ и надо вводить, с леджера его в таком виде не извлечь.

Однако да, это неправильно что у леджера в принципе ключ при настройке наружу сообщается, что в то же время возможно и хорошо, учитывая насколько кривой у него внутри код. Так хоть в случае чего можно руками приватные ключи восстановить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #15

10. Сообщение от Аноним (10), 16-Дек-23, 12:42   +4 +/
NPM : Нас не догонят!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

12. Сообщение от Вы забыли заполнить поле Name (?), 16-Дек-23, 12:46   –2 +/
Для смузихлебов новая версия - это как игрушка для собаки, у них сразу появляется слюноотделение, учащается сердцебиение и желание совершать движения.

Смотришь на некоторые проекты, а там только комитет от бота, который араки зависимости.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #23

13. Сообщение от Аноним (13), 16-Дек-23, 12:54   +/
> Переходим на Tangem Wallet.

У него нет функции показа seed-а для создания резервной копии. Если потеряешь/поломаешь имеющиеся карты, деньги не восстановить. Еще непонятно как там синхронизация и генерация ключа работает, сказано, что ключ генерируется на каждой карте, но при этом есть возможность привязывать/синхронизировать дополнительные карты, значит программа может извлекать ключи или seed не такой рандомный как заявлено, очень сомнительно в плане безопасности. Где на карте берётся энтропия для генератора случайных чисел? В Ledger в энтропия формируется на основе задержек при нажатии клавиш на брелоке, а в Tangem где взять внешний шум? К тому же мутное происхождение, бренд зарегистрирован в Швейцарии, а по факту владельцы бизнеса россияне.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #14, #21, #24, #27

14. Сообщение от Ким Чен Ын (?), 16-Дек-23, 13:01   +/
не, рассиянцам доверия вообще нет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

15. Сообщение от Аноим (?), 16-Дек-23, 13:02   +2 +/
> Фраза восстановления леджера была доступна человеку с самого начала, при его настройке же нужно
> записать 24 слова, а это ключ и есть (bip39), и именно его предлагает бекапить на сервисе.

Разница в том, что фраза восстановление раньше показывалась _только_ на ЖК-экране леджера и _не_выходила_ за пределы устройства. Ladger Recovery бэкапит фразу восстановления на _внешних_ облаках, что подразумевает то, что фраза перед разделением на части будет передана на сторону приложения Lender Live и на сервер компании Ladger, а не останется только внутри устройства. Ещё раз, наличие в прошивке холодного кошелька самой возможности передачи seed-фразы во вне ломает всё доверие к устройству.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #22, #36

17. Сообщение от ИмяХ (ok), 16-Дек-23, 13:31   +/
Неееет, такого не бывает! Криптовалюта это надёжно и безопасно, никто не сможет украсть ваши деньги, всё зашифровано так, что нужен квантовый компьютер размером с планету, чтобы его взломать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19, #26, #49

19. Сообщение от Аноним (19), 16-Дек-23, 13:42   +/
Ну вообще обещали что злое государство не сможет украсть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

21. Сообщение от Sw00p aka Jerom (?), 16-Дек-23, 14:55   +/
>бренд зарегистрирован в Швейцарии

лол,кек вы думаете где-то на белом свете позволят создавать милитари грейд устройсва защиты информации, темболее в указанной стране?

у вашего это леджера темпер протекшен хоть имеется?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #28, #38

22. Сообщение от Аноним (22), 16-Дек-23, 15:00   –2 +/
Ничего не ломает, это твои какие-то измышлизмы. Как бэкапить то фразу?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #33

23. Сообщение от Аноним (22), 16-Дек-23, 15:03   –1 +/
Эти смузихлебы сейчас с нами? Я тоже люблю новые версии, да и все любят, это только совсем дединсайдам пофиг. Не надо подменять понятие профнепригодности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #41, #54, #57

24. Сообщение от Аноним (22), 16-Дек-23, 15:04   +/
Чел, признайся, сколько триллионов долларов у тебя в кошельке?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

26. Сообщение от Аноним (22), 16-Дек-23, 15:06   +1 +/
А че, кто-то обещал безопасность?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

27. Сообщение от Аноним (-), 16-Дек-23, 15:18   +/
А что вы думаете про SafePal S1?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

28. Сообщение от Аноним (-), 16-Дек-23, 15:20   +1 +/
Создал тебе GNUK, пользуйся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

29. Сообщение от Аноним (29), 16-Дек-23, 15:29   +/
Только Bitcoin core, только hardcore.
Ответить | Правка | Наверх | Cообщить модератору

30. Сообщение от Kuromi (ok), 16-Дек-23, 15:29   +/
Крипта + "В качестве причин успеха атаки упоминается возможность публикации выпусков без прохождения двухфакторной аутентификации" = замечательная безопасность.

Знаю что сейчас в комменты набегут товарищи которые думают что двухфакторка = смс = палево по номеру телефона, но по вашему возможность тыринга крипты через "троян" в официальном софте это нормально?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32

31. Сообщение от Аноним (31), 16-Дек-23, 15:46   +1 +/
Пользователи JS должны страдать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34

32. Сообщение от Вы забыли заполнить поле Name. (?), 16-Дек-23, 15:50   +1 +/
TOTP у вас ещё не изобрели?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #35, #50

33. Сообщение от kafka (?), 16-Дек-23, 15:59   +16 +/
>>Как бэкапить то фразу?

НА БУМАГЕ!

поколение снежинок, мать  вашу.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #40

34. Сообщение от Аноним (34), 16-Дек-23, 16:12   +1 +/
Пользователи %s должны страдать.

Такова уж их судьбинушка...

Пора бы уже сделать шаблоны типовых комментариев и выдавать квоты, а может быть даже продавать за ту же крипту.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #39, #45

35. Сообщение от Kuromi (ok), 16-Дек-23, 16:30   +/
> TOTP у вас ещё не изобрели?

Забыл про него упомянуть. Но кстати не им единым мир живет, есть еще WebAuthn

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

36. Сообщение от morphe (?), 16-Дек-23, 16:38   +/
> Ещё раз, наличие в прошивке холодного кошелька самой возможности передачи seed-фразы во вне ломает всё доверие к устройству.

~~Я возможно чот не понимаю, но для работы ledger recovery тебе нужно самому перегнать сид фразу в облако с его экрана, в прошивке нет возможности это автоматизировать?~~

Да, понял, не совсем так, оно на устройстве разбивает ключ, а затем приложение ledger live передаёт на устройство 3 приватных ключа, с которыми шифруются куски согласно маркетинговым материалам. Тогда действительно не круто

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

37. Сообщение от Аноним (-), 16-Дек-23, 16:39   +/
Хм... Интересно, у них тоже было привычное AS IS в лицензии?
Ну и что никаких возмещений за кривой код.
Ответить | Правка | Наверх | Cообщить модератору

38. Сообщение от Sw00p aka Jerom (?), 16-Дек-23, 16:39   +/
>Создал тебе GNUK, пользуйся.

спасибо, поржал

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

39. Сообщение от Аноним (-), 16-Дек-23, 16:41   +/
> Пользователи %s должны страдать.
> Пора бы уже сделать шаблоны типовых комментариев

Давай уже упростим до "Пользователи должны страдать" что опишет практически все IT.
Или шагнем дальше да "должны страдать" и закроем эту тему))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #43

40. Сообщение от Sw00p aka Jerom (?), 16-Дек-23, 16:42   +1 +/
им кто-то в уши залил, что хранить инфу на бумаге это не секурно :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

41. Сообщение от Аноним (41), 16-Дек-23, 17:43   +/
> Я тоже люблю новые версии, да и все любят

Говори за себя.

> это только совсем дединсайдам пофиг

Я-то думал, профи должны относиться к новому с трезвой осторожностью, а не визжать как девочки. Результаты непофигизма "весёлой хипстоты-инсайд" - в посте.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

43. Сообщение от Аноним (41), 16-Дек-23, 17:50   +/
Страдать!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #47

44. Сообщение от Аноним (-), 16-Дек-23, 18:28   +/
> Лучшие практики

лучшие теоретики, блин

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

45. Сообщение от Аноним (-), 16-Дек-23, 18:30   +/
Да вот что-то у js писателей/пользователей выходит особенно упоротая судьбинушка, т.ч. ничего типового здесь нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

46. Сообщение от Аноним (-), 16-Дек-23, 18:37   +/
> полный провал в отношении к защите информации. Закрытый ключ должен только записываться
> на этапе генерации в чип Secure Element, который должен быть чёрным ящиком, допускающим
> только отдачу результатов подписывания ключом.

Вопрос: а что нелох делает если чип скончался, девайс про@#$лся и тому подобное? А, ожесточенно выдирает волосы на всех местах где они растут?!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #48, #51

47. Сообщение от Аноним (47), 16-Дек-23, 20:51   +/
Зачем?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #53

48. Сообщение от torvn77 (ok), 16-Дек-23, 21:24   +/
Не лох не будет держать основные деньги на аппаратном кошельке, он нужен для удобства текущих операций.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

49. Сообщение от torvn77 (ok), 16-Дек-23, 21:26   +/
Так у тех кто всё делает правильно так безопасно и секюрно всё и есть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

50. Сообщение от torvn77 (ok), 16-Дек-23, 21:27   +/
Или U2F
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #56

51. Сообщение от Аноним (51), 17-Дек-23, 00:06   +2 +/
Нелох при начальной инициализации устройства переписывает новенькую сгенерированную сид-фразу на бумажку(-и) и прячет ее(их) в надежное место. Если ты каменщик - можешь высечь в граните (и закопать). Как вариант - сохраняешь в надежном (ха-ха, на свой страх и риск, если не боишься троянов на компе и уязвимостей в ПО) менеджере паролей и раскидываешь его зашифрованную БД по всяким гугл-дискам в надежде что квантовый компутер еще нескоро сможет это дело вскрыть.

Потом у тебя этот девайс "скончался, про@#$лся и тому подобное"

Тут варианты:
- Просто покупаешь второе такое же устройство и там выбираешь не генерацию новой сид-фразы, а режим восстановления и вводишь старую сид-фразу. Все приватные ключи/адреса для разных блокчейнов остались на месте, прежними.
- Используешь любой другой кошелек, _СОВМЕСТИМЫЙ_ со старым в котором тоже восстанавливаешь ключи по уже существующей сид-фразе. Насчет совместимости - там у них есть приколы что при одной и той же сид-фразе для одного и того же блокчейна могут генерироваться разные ключи/адреса из-за того, что разные кошельки могут использовать, грубо говоря, несовместимые "хвосты", "суффиксы" (derivation path) к сид-фразе. Вот такая "стандартизация".

Например, для блокчейна Cardano (ADA) в программном кошельке Exodus derivation path это строка "m/44'/1815'/0'/0/0", а в кошельке TrustWallet - "m/1852'/1815'/0'/0/0". А итоговая пара ключей для конкретного блокчейна генерируется, условно, из "сид_фразы + derivation_path", что даже при одной и той же сид-фразе, но разных derivation path даст совершенно разные результаты (т.е. кошельки несовместимы с точки зрения сид-фраз, дадут разные пары ключей).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

52. Сообщение от noc101 (ok), 17-Дек-23, 00:48   +/
Никогда не было и вот в очередной раз повторяется. История никого не учит.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #55

53. Сообщение от user90 (?), 17-Дек-23, 03:27   +/
Прогроммист 1с :)
В гугле не искал, а то..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

54. Сообщение от Аноним (54), 17-Дек-23, 04:55   +/
> Не надо подменять понятие профнепригодности.

Молодец! Сам диагноз определил. Правда начал с ним спорить. Но, все равно - это уже успех!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

55. Сообщение от Аноним (55), 17-Дек-23, 13:30   +1 +/
История учит тех, кто ее застал или хотя бы изучал. Поколение смузихлебов открывает для себя все заново.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

56. Сообщение от Kuromi (ok), 18-Дек-23, 02:06   +/
> Или U2F

А это сейчас де факто одно и тоже (вернее, WebAuthn поглотил U2F и поддерживает устройства с ним). Как таковую поддержку именно U2F из того же ФФ уже вырезали.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

57. Сообщение от User (??), 18-Дек-23, 07:38   +/
Не-не-не, не знаю, как у вас - а у нас новые версии боятся-и-ненавидят - патамучта нельзя же вот так просто - взять и не переломать все нах..., пардон, УЛУЧШИТЬ, правда? Пацаны-не-поймут, спросят "нафиг обновлял?!" тогда.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

58. Сообщение от Аноним (58), 21-Дек-23, 08:46   +/
Я не понимаю, почему на всех официальных сайтах криптовалют, даже мега приватного монеро, рекомендуют использовать холодные проприетарные аппаратные кошельки, вроде Ledger. Им за это платят? Там же закрытая прошивка в них и простор для вставки закладок просто неограниченный, даже необязательно, что у вас сид фразы украдут, могут просто при подключении к компу связывать ваш айпи, с вашим кошельком и отправлять эту информацию кому надо
Ответить | Правка | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру