4 دقیقه
نشت گسترده NPM بدافزار را در کتابخانههای محبوب جاوااسکریپت تزریق کرد
پژوهشگران امنیتی یک حملهٔ گستردهٔ زنجیرهتأمین علیه بستههای Node Package Manager (NPM) را ردیابی کردهاند که بدافزاری را در کتابخانههای پرکاربرد جاوااسکریپت وارد کرده است. بستههای دستکاریشده که بهعنوان وابستگیهای عمیق در پروژههای بیشمار ظاهر میشوند، پس از کشف یک پیلود هدفگیرِ رمزارز که قصد انحراف وجوه از کیفپولهای اتریوم و سولانا را داشت، علامتگذاری شدند.
شرکت اطلاعات رمزارزی Security Alliance این رخداد را تحلیل و نتیجهگیری کرد که این حمله یکی از گستردهترین نفوذهای مشاهدهشده به اکوسیستم NPM است — بستههای متأثر مجموعاً میلیاردها دانلود دارند — اما تا کنون خسارت ملموسی به اکوسیستم کریپتو وارد نشده است.
سرقت رمزنگاری تا کنون ناچیز — اما دامنهٔ نفوذ وسیع بود
با وجود گستردگی نقض، Security Alliance گزارش داد که مهاجمان تاکنون مجموعاً کمتر از ۵۰ دلار سرقت کردهاند. گزارش یک آدرس اتریوم احتمالا مخرب را با شناسه "0xFc4a48" شناسایی کرد که مقدار کمی اتر و چند توکن میمکوین دریافت کرده است. تلهمتری اولیه بهطور گذرا نشان داد تنها حدود پنج سنت اتر سرقت شده بود و سپس این رقم تا حدود ۵۰ دلار افزایش یافت، که نشان میدهد هنگامی که پژوهشگران یافتههای اولیه را منتشر کردند، حادثه هنوز در حال توسعه بوده است.
پژوهشگر امنیتی سامکزسان (Samczsun) که با نام مستعار SEAL عمل میکند به خبرنگاران گفت نفوذگر از دسترسی بهدستآمده بهطور کامل استفاده نکرده است. او گفت: «مثل پیدا کردن کارت دسترسی فورتم ناکس و استفاده از آن بهعنوان نشانِ صفحه است.» و اشاره کرد که بدافزار عمدتاً توسط مدافعان خنثی شده است.
کدام بستهها و پروژهها تحت تأثیر قرار گرفتند؟
نفوذ به ماژولهای ابزار کمکی هدف زده شده بود که بهطور گسترده در درختهای وابستگی قرار دارند — بستههایی مانند chalk، strip-ansi و color-convert. از آنجا که این ماژولها اغلب بهصورت غیرمستقیم وارد پروژهها میشوند، بسیاری از محیطهای توسعه و بیلدهای تولیدی میتوانستند در معرض باشند حتی اگر تیمها هیچگاه آن بستهها را بهطور مستقیم نصب نکرده باشند.
تحلیلها نشان میدهد مهاجمان یک پیلود کلیپر رمزنگاری را مستقر کردهاند: بدافزاری که بهصورت مخفیانه آدرسهای کیفپول معتبر را در کلیپبورد قربانی هنگام تایید تراکنشهای زنجیرهٔ بلاکچین با آدرسهای کنترلشده توسط مهاجم جایگزین میکند و هنگام ارسال تراکنش وجوه را هدایت میکند.
ارائهدهندگان اصلی کیفپول گزارش دادند که تحت تاثیر قرار نگرفتهاند
چندین کیفپول و پلتفرم بزرگ رمزارزی اعلام کردند تحت تأثیر قرار نگرفتهاند. Ledger و MetaMask گفتند که لایههای دفاعی آنها از بهرهبرداری جلوگیری کرده است و از چندین لایه امنیتی نام بردند. Phantom Wallet اعلام کرد که از نسخههای آسیبپذیر بستهها استفاده نمیکند و Uniswap نیز تأیید کرد که اپلیکیشنهایش در معرض خطر نبودهاند. پلتفرمهای دیگری از جمله Aerodrome، Blast، Blockstream Jade و Revoke.cash نیز گزارش دادند که در معرض قرار نگرفتهاند.
اکنون کاربران و توسعهدهندگان چه کاری باید انجام دهند
کارشناسان امنیتی به توسعهدهندگان توصیه میکنند درختهای وابستگی را ممیزی کنند، اعتبارنامههای بهخطرافتاده را لغو و بازنشانی کنند و بستههای متأثر NPM را حذف یا بهروزرسانی نمایند. کاربران نهایی هنگام تأیید تراکنشهای درونزنجیرهای باید احتیاط کنند و تا زمان تأیید پاکسازی بستهها توسط توسعهدهندگان از تعامل با کیفپولها در dAppها پرهیز کنند. همانطور که یک بنیانگذار ناشناس در شرکت تحلیل DeFiLlama اشاره کرد، تنها پروژههایی که پس از انتشار بستههای مخرب بهروزرسانی شدهاند — و کاربرانی که تراکنش مخرب را تأیید کردهاند — احتمالاً دچار زیان شدهاند.
در حالی که این حادثه ریسک سیستمی حملات زنجیرهتأمین در اکوسیستم جاوااسکریپت را برجسته میکند، کشف سریع و پاسخ هماهنگ خسارتهای کریپتو را حداقل نگه داشت. مراقبت مداوم در زمینهٔ پاکیزگی وابستگیها، بررسی یکپارچگی بستهها و طراحی تجربهٔ کاربری تأیید کیفپول برای امنیت بلاکچین و حفاظت از کیفپولهای رمزارزی در برابر حملات آیندهٔ NPM ضروری است.
منبع: cointelegraph
.avif)
نظرات