Attaque par logiciel malveillant sur un paquet NPM et défense avec LavaMoat
Une attaque récente a injecté du code malveillant dans le paquet NPM `is-arrayish`, visant à voler de l'ETH lors de transactions utilisateur. Le logiciel malveillant a réussi en remplaçant des fonctions du navigateur comme `fetch`, `XMLHttpRequest` et `window.ethereum.request`. Au lieu d'une analyse détaillée de l'attaque, l'article montre comment LavaMoat prévient de telles attaques. LavaMoat isole les modules de chaque dépendance dans des contextes globaux lexicaux séparés (Compartiments), limitant l'accès aux variables globales et aux importations spécifiées dans une politique. Cela empêche le code malveillant de modifier les adresses de transaction. Même un logiciel malveillant sophistiqué aurait du mal à contourner les défenses de LavaMoat.