Odaily星球日報訊慢霧創始人餘弦在X平台發文表示,針對Ledger Connect Kit漏洞事件,專案方目前需要注意: 1. Ledger被投毒的模組在npmjs平台上,前員工的npmjs帳號被釣魚劫持走後,攻擊者就可以任意發布帶毒的模組版本。 2. 發佈後的模組會自動更新到jsDelivr CDN下。 3. Ledger的Connect Kit直接引入了jsDelivr CDN js文件,非常粗暴,沒有文件雜湊綁定,沒有嚴格限制引入版本。 4. 前員工居然還遺留這麼重要的權限,內部安全管理機制得好好增強了,最壞原則,如果內部作惡,是否可以有效避免並及時發現。 5. 需要注意下,雖然Ledger npmjs被投毒的版本已經刪除,但目前在jsDelivr上還有帶毒js檔。這些安全建議供其他專案方借鑒,別偷懶,每一次安全事件都是複盤自身的好機會。
dark