Sulm i heshtur në ekosistemin e Bitcoin: malware i maskuar po vjedh kriptomonedha nga zhvilluesit

Një kërcënim i ri kibernetik po shqetëson komunitetin e kriptomonedhave, këtë herë duke goditur jo përdoruesit e zakonshëm, por vetë zhvilluesit. Ekspertët e sigurisë kanë zbuluar se malware i dizajnuar për vjedhjen e kriptove po fshihet brenda paketave të rreme softueri, të cilat paraqiten si mjete ndihmëse për bibliotekat e kodit të Bitcoin.

Sipas raportimeve, sulmuesit kanë publikuar paketa me emra që ngjajnë shumë me biblioteka legjitime të përdorura nga zhvilluesit, duke shfrytëzuar një praktikë të njohur si “typosquatting”. Në pamje të parë, këto paketa duken si përditësime ose rregullime të vogla teknike, por në realitet përmbajnë kod keqdashës që aktivizohet sapo integrohet në një projekt. Pasi instalohet, malware synon të kapë informacione kritike, përfshirë çelësa privatë dhe të dhëna që lidhen me portofolët digjitalë. Në disa raste, kodi i dëmshëm mund të ndryshojë mënyrën se si kryhen transaksionet, duke i ridrejtuar fondet drejt adresave të kontrolluara nga sulmuesit, pa dijeninë e përdoruesit. Rreziku është veçanërisht i madh për zhvilluesit që punojnë me projekte open-source dhe mbështeten në paketa të jashtme për të përshpejtuar punën e tyre.

Ky incident hedh dritë mbi një problem më të gjerë të sigurisë në ekosistemin e softuerit: zinxhirin e furnizimit digjital. Ndërsa kriptomonedhat shpesh perceptohen si të sigurta për shkak të teknologjisë blockchain, mjetet që përdoren për të ndërtuar dhe menaxhuar këto sisteme mbeten të ekspozuara ndaj sulmeve tradicionale kibernetike. Ekspertët e sigurisë paralajmërojnë se raste të tilla pritet të shtohen, pasi kriptomonedhat vazhdojnë të tërheqin vëmendjen e grupeve kriminale. Ata u bëjnë thirrje zhvilluesve të verifikojnë me kujdes burimin e paketave që instalojnë, të kontrollojnë dokumentacionin zyrtar dhe të shmangin bibliotekat që nuk kanë reputacion të konsoliduar.

Në një industri ku një gabim i vetëm mund të kushtojë mijëra apo miliona euro, ky sulm shërben si kujtesë e fortë se siguria në kripto nuk përfundon te blockchain-i, por fillon që nga rreshti i parë i kodit.