Cybersäkerhet för Web3-världen har officiellt gått in i en ny och farlig fas. En ny rapport avslöjar en kritisk förändring i hotlandskapet, där angripare inte längre utnyttjar isolerade sårbarheter. I stället sammanfogar de strategiskt attackvektorer från traditionella programvaruförsörjningskedjor med de unika, oföränderliga egenskaperna hos decentraliserade nätverk. En skrämmande fallstudie i hjärtat av våra resultat involverar de skadliga npm-paketen, colortoolsv2 och mimelib2. På ytan var detta en klassisk attack mot leveranskedjan för programvara. Men vad som kom härnäst var en mästarklass i undvikande: angriparna använde ett offentligt Ethereum-smart kontrakt för att lagra och leverera webbadresserna till sina kommando- och kontrollservrar (C2). 🤯 Den här taktiken är en gamechanger eftersom den gör traditionella nätverkssäkerhetsverktyg – utformade för att blockera kända skadliga IP-adresser – värdelösa. En interaktion med en offentlig blockkedja är legitim, så angriparna skapade en C2-kanal som är mycket motståndskraftig mot borttagningar. Men den tekniska sofistikeringen slutade inte där. Angriparna byggde också ett nätverk av falska GitHub-förråd, komplett med fabricerade incheckningar och mätvärden, för att socialt manipulera utvecklare att installera de skadliga paketen. Detta är en kraftfull lärdom: till och med fabricerad tillit till samhället är nu ett vapen. Detta är bara ett exempel på en bredare trend. De största farorna för blockkedjor i Ethereum-stil ligger ofta inte i bristerna i on-chain-protokollet, utan i skärningspunkten mellan beroenden utanför kedjan och centraliserad infrastruktur. Rapporten beskriver hur angripare utnyttjar: Skadliga beroenden: Använda fulregistreringar och kompromettera populära paket med öppen källkod för att injicera skadlig kod. Avancerad social ingenjörskonst: Att använda fabricerad legitimitet på nätet för att lura utvecklare. AI-vapenisering: Använder AI för att skala phishing-kampanjer, skapa deepfakes och till och med tvinga skadliga skript att själva skanna efter känsliga data. Så, vad är lösningen? Det behövs ett fullständigt strategiskt skifte. Den gamla modellen med en enda säkerhetsrevision är inte längre genomförbar. Vi måste anta en proaktiv säkerhetsställning med noll förtroende. Det betyder: För utvecklare: Ifrågasätt allt. Lita inte blint på beroenden, inte ens populära sådana. Utför rigorös beroendegranskning med hjälp av verktyg som SAST och DAST och följ säkra kodningsmetoder. För organisationer: Omfamna ett försvar i flera lager. Använd blockkedjemedvetna säkerhetsverktyg som automatiskt kan upptäcka sårbarheter i kedjan. Övervaka kontinuerligt ditt ekosystem för hot. Konvergensen av attacker mot leveranskedjan och blockkedjetekniken har skapat en dynamisk och komplex hotmodell. Framtiden för säkerhet i Web3-eran handlar inte om en enda lösning utan om en obeveklig, sammankopplad försvarsprocess som är lika dynamisk och innovativ som själva attackerna. Tiden för ett nytt säkerhetsparadigm är nu. 🛡️ #Cybersecurity #Blockchain #Web3 #SoftwareSupplyChain #Ethereum #InfoSec