Що таке $ETH ??? Посібник для початківців. 👇👇👇

Кібербезпека для світу Web3 офіційно вступила в нову та небезпечну фазу. Нещодавній звіт показує критичні зміни в ландшафті загроз, коли зловмисники більше не використовують ізольовані вразливості. Замість цього вони стратегічно поєднують вектори атак з традиційних ланцюжків поставок програмного забезпечення з унікальними, незмінними властивостями децентралізованих мереж. Моторошний приклад, що лежить в основі наших висновків, включає шкідливі пакети npm, colortoolsv2 і mimelib2. На перший погляд, це була класична атака на ланцюжок поставок програмного забезпечення. Але далі був майстер-клас з ухилення: зловмисники використовували публічний смарт-контракт Ethereum для зберігання та доставки URL-адрес своїх командно-контрольних серверів (C2). 🤯 Ця тактика кардинально змінює правила гри, оскільки робить непотрібними традиційні інструменти мережевої безпеки, призначені для блокування відомих шкідливих IP-адрес. Взаємодія з публічним блокчейном є законною, тому зловмисники створили канал C2, який є дуже стійким до видалень. Але на цьому технічна витонченість не закінчилася. Зловмисники також створили мережу фальшивих репозиторіїв GitHub із сфабрикованими комітами та метриками, щоб соціально спроектувати розробників та встановити шкідливі пакети. Це потужний урок: навіть сфабрикована довіра громади тепер є зброєю. Це лише один із прикладів ширшої тенденції. Найбільш значні небезпеки для блокчейнів у стилі Ethereum часто полягають не в недоліках протоколу в ланцюжку, а на перетині залежностей поза ланцюгом і централізованої інфраструктури. У звіті детально описується, як зловмисники використовують важелі впливу: Шкідливі залежності: Використання типсквотингу та компрометація популярних пакетів з відкритим вихідним кодом для впровадження шкідливого програмного забезпечення. Передова соціальна інженерія: використання сфабрикованої легітимності в Інтернеті для обману розробників. Використання штучного інтелекту як зброї: використання штучного інтелекту для масштабування фішингових кампаній, створення діпфейків і навіть примусу шкідливих скриптів до самостійного сканування конфіденційних даних. Отже, яке рішення? Потрібен повний стратегічний зсув. Стара модель одноразового аудиту безпеки більше не є життєздатною. Ми повинні зайняти проактивну позицію безпеки з нульовою довірою. Це означає: Для розробників: Ставте під сумнів все. Не варто сліпо довіряти залежностей, навіть популярним. Проводьте ретельний аудит залежностей за допомогою таких інструментів, як SAST і DAST, і дотримуйтесь безпечних методів кодування. Для організацій: використовуйте багаторівневий захист. Використовуйте інструменти безпеки на основі блокчейну, які можуть автоматично виявляти вразливості в мережі. Постійно відстежуйте свою екосистему на наявність загроз. Поєднання атак на ланцюжок поставок і технології блокчейн створило динамічну і складну модель загроз. Майбутнє безпеки в епоху Web3 полягає не в одному рішенні, а в невпинному, взаємопов'язаному процесі захисту, який є таким же динамічним та інноваційним, як і самі атаки. Настав час для нової парадигми безпеки. 🛡️ #Cybersecurity #Blockchain #Web3 #SoftwareSupplyChain #Ethereum #InfoSec

Ласкаво просимо до блокчейну, Лондон.