هشدار فوری برای کاربران اتریوم و بایننس اسمارت چین

هشدار فوری برای کاربران اتریوم و بایننس اسمارت چین

پژوهشگران امنیتی در Cisco Talos یک کمپین سایبری مرتبط با کره شمالی را شناسایی کرده‌‌اند که با استفاده از خانواده بدافزاری ردیابی‌شده تحت نام OtterCookie/BeaverTrail، به سرقت وجوه و اطلاعات ورود کاربران اتریوم و بایننس اسمارت چین (BSC) می‌پردازد. این بازیگران تهدید بدافزار را از طریق یک اپلیکیشن جعلی رمزنگاری و همچنین یک پکیج مخرب npm توزیع می‌کنند؛ که امکان سرقت کلیدهای خصوصی، محتوای کلیپ‌بورد، اسکرین‌شات‌ها و داده‌های کیف پول‌های مبتنی بر مرورگر مانند MetaMask را فراهم می‌سازد. در ادامه تحلیل فنی، مراحل حمله، اقدامات فوری برای قربانیان احتمالی و روش‌های پیشگیرانه مفصل‌تر آمده است تا کاربران کیف پول ارز دیجیتال بتوانند خطر سرقت کیف پول و هک کلید خصوصی را بهتر مدیریت کنند.

جزئیات فنی و شواهد تشخیص

تجزیه و تحلیل نمونه‌های بدافزار نشان می‌دهد که OtterCookie/BeaverTrail از چندین مولفه استفاده می‌کند: بارگذاری‌کننده اولیه که از طریق جاوااسکریپت مبهم‌سازی‌شده (obfuscated JavaScript) اجرا می‌شود، ماژول‌هایی برای خواندن کلیپ‌بورد و گرفتن اسکرین‌شات، و ماژول‌های استخراج فایل و اعتبارنامه از مسیرهای محلی. سپس داده‌های جمع‌آوری‌شده به سرورهای کنترل و فرمان (C2) هدایت می‌شود که تحت کنترل بازیگر تهدید قرار دارند. این رفتار، ریسک سرقت کلید خصوصی، عبارت بازیابی (seed phrase)، توکن‌های ERC-20 و BEP-20، و داده‌های نشست مرورگر را افزایش می‌دهد.

نکات فنی کلیدی که در گزارش‌های اصولی مشاهده شده است شامل موارد زیر است: شناسایی اجرای بسته‌های npm غیرمطمئن، تزریق کد جاوااسکریپت در وب‌اپلیکیشن‌های دمو یا فریبکارانه، بهره‌برداری از قابلیت‌های API مرورگرها برای دسترسی به حافظه موقت و کلیپ‌بورد، و استفاده از سازوکارهای رمزگذاری یا مخفی‌سازی کانال‌های خروجی برای جلوگیری از کشف توسط آنتی‌ویروس‌ها. همچنین بازیگران تهدید معمولاً از نام‌ها یا آیکون‌های مرتبط با پروژه‌های معتبر رمزنگاری برای فریب کاربران و دانلود اپ‌های جعلی استفاده می‌کنند.

نحوه عملکرد حمله

در بیشتر موارد، مهاجمین کاربران را با پیشنهادهای شغلی جعلی، دعوت‌نامه‌های پروژه یا ابزارهای جذاب توسعه‌دهنده فریب می‌دهند. یکی از تکنیک‌های رایج این است که از قربانی می‌خواهند اسکریپتی را اجرا کند یا پکیجی را در محیط محلی نصب نماید؛ به‌ویژه زمانی که کاربر در حال توسعه یا تعامل با پروژه‌های Web3 است. پس از اجرای جاوااسکریپت مبهم‌شده از منبع نامطمئن، مؤلفه‌های OtterCookie/BeaverTrail نصب و فعال می‌شوند و شروع به جمع‌آوری داده‌های حساس می‌کنند.

پس از جمع‌آوری، فایل‌ها و اعتبارنامه‌های سرقت‌شده به سرورهای کنترل مهاجم ارسال می‌شوند. این مسیر خروجی معمولاً با رمزگذاری یا پروتکل‌های پنهان‌شده همراه است تا تشخیص و تحلیل را دشوار کند. نکته مهم این است که این بردار حمله — اجرای کد ناشناخته یا ناشناس روی سیستم اصلی کاربر — همچنان مهم‌ترین نقطه ورود برای کمپین‌های ربودن کیف پول است. به عبارت دیگر، ریسک هنگام اجرای اسکریپت‌های ناشناس یا نصب بسته‌های npm نامعتبر بر روی ماشین توسعه‌دهنده یا سیستم روزمره به شدت بالا می‌رود.

از منظر شناسایی، رفتارهای زیر می‌توانند نشانگر این خانواده بدافزار باشند: فعالیت شبکه غیرمعمول به سمت آدرس‌های IP یا دامنه‌های ناشناخته، درخواست‌های مکرر به APIهای ذخیره‌سازی و ارسال داده‌های حجیم به میزبان‌های خارجی، تغییرات غیرمنتظره در مجوزهای مرورگر، و حضور فرایندهای ناشناخته که به کلیپ‌بورد یا فایل‌های کیف پول دسترسی دارند. ترکیب ابزارهای مانیتورینگ endpoint، تحلیل لاگ‌های سیستم و بررسی فرآیندهای در حال اجرا می‌تواند به کشف سریع‌تر کمک کند.

اقدامات فوری برای قربانیان احتمالی

اگر گمان می‌کنید سیستم شما به بدافزار OtterCookie/BeaverTrail یا نمونه‌های مشابه آلوده شده است، فرض را بر این بگذارید که هر کیف پول گرم (hot wallet) در همان سیستم به خطر افتاده است. اقدامات زیر برای کاهش خطر و بازیابی امنیت توصیه می‌شود:

• انتقال فوری دارایی‌های باقیمانده: موجودی کیف پول‌های متصل به مرورگر یا کیف پول‌های نرم‌افزاری را به یک کیف پول امن منتقل کنید. برای مبالغ قابل‌توجه، از کیف پول سخت‌افزاری (hardware cold wallet) استفاده کنید تا کلیدهای خصوصی به‌صورت آفلاین نگهداری شوند.
• بازگردانی دسترسی و لغو مجوزها: بررسی و لغو Approvals و اجازه‌نامه‌های توکن در MetaMask و سایر اکستنشن‌های کیف پول را فوراً انجام دهید. بسیاری از حملات از مجوزهای قبلی سوءاستفاده می‌کنند تا توکن‌ها را بدون نیاز به کلید خصوصی منتقل کنند.
• تغییر رمزعبورها و MFA: رمزهای عبور مرتبط با ایمیل، صرافی‌ها و حساب‌های مدیریت کیف پول را تغییر دهید و احراز هویت چندمرحله‌ای (MFA) را در همه سرویس‌های پشتیبانی‌شده فعال کنید.
• اسکن و پاکسازی سیستم: اجرای آنتی‌ویروس‌ها و ابزارهای EDR ممکن است برخی مؤلفه‌ها را شناسایی کند، اما در صورت شک به وجود persistence یا ریشه‌ای بودن آلودگی، نصب مجدد سیستم‌عامل (clean OS reinstall) بهترین راه برای حذف کامل بدافزارهای مقاوم است.
• بررسی کلیپ‌بورد و روانکاری اطلاعات: از چسباندن (paste) مستقیم عبارت بازیابی یا کلید خصوصی در محیط‌های حساس خودداری کنید. اگر اطلاعاتی به کلیپ‌بورد کپی شده بود، فوراً کلیپ‌بورد را پاک کنید و فرض را بر این بگذارید که آن داده به سرقت رفته است.
• تماس با پشتیبانی و گزارش: در صورت سرقت قابل توجه، با صرافی‌ها، سرویس‌های کیف پول و در صورت لزوم با مراجع قضایی یا نهادهای گزارش‌دهنده جرایم سایبری ارتباط برقرار کنید تا در صورت امکان اقدامات حفاظتی اضافی انجام شود.
• مستندسازی شواهد: لاگ‌ها، اسکریپت‌های اجراشده و نمونه‌های مشکوک را امن نگه دارید تا در صورت نیاز به تحلیل یا گزارش‌دهی فنی در اختیار تحلیلگران یا مراجع قرار گیرد.

پیشگیری و بهترین شیوه‌ها

اجتناب از اجرای پکیج‌ها یا کدهای ناشناس روی دستگاه اصلی، یکی از اصول امنیتی بنیادی برای توسعه‌دهندگان و کاربران رمزارز است. در اینجا فهرستی از بهترین شیوه‌ها و اقدامات پیشگیرانه برای حفاظت از کیف پول‌های رمزنگاری و جلوگیری از سرقت کلید خصوصی آورده شده است:

• استفاده از کیف پول سخت‌افزاری برای دارایی‌های مهم: نگهداری کلید خصوصی در یک دستگاه سخت‌افزاری (مثل Ledger یا Trezor) خطر لو رفتن عبارت بازیابی را به‌طور قابل‌توجهی کاهش می‌دهد.
• عدم اجرای پکیج‌های npm نامعتبر: قبل از نصب هر بسته‌ای، مخزن آن را بررسی، ستاره‌ها، وابستگی‌ها و تاریخچه منتشرکننده را مرور کنید؛ از نصب بسته‌های ناشناخته یا کپی‌شده که ممکن است نام مشابه پروژه‌های معتبر داشته باشند خودداری کنید.
• تفکیک محیط توسعه از محیط روزمره: زمان توسعه یا تست قراردادهای هوشمند و DAppها از ماشین مجازی، کانتینر یا یک سیستم ایزوله (sandbox) استفاده کنید تا اجراکنش کد ناشناس به محیط اصلی آسیب نزند.
• بازنگری منظم اجازه‌نامه‌ها و Approvals: در MetaMask و دیگر افزونه‌ها، مجوزهای دسترسی به توکن‌ها را مرتباً بازبینید و مجوزهای قدیمی یا مشکوک را revoke کنید.
• فعال‌سازی احراز هویت چندمرحله‌ای (MFA): هر جا ممکن است از 2FA مبتنی بر اپلیکیشن یا توکن سخت‌افزاری استفاده کنید؛ استفاده از پیامک (SMS) تنها برای 2FA توصیه نمی‌شود.
• پایش و به‌روزرسانی منظم: سیستم‌عامل، مرورگرها، افزونه‌ها و کیف پول‌های نرم‌افزاری را به‌روز نگه دارید تا از رفع آسیب‌پذیری‌های شناخته‌شده بهره‌مند شوید.
• استفاده از کیف پول‌های جداگانه و پروفایل مرورگر: برای تعامل با DAppهای کمتر مطمئن از پروفایل‌ها یا مرورگرهای جداگانه استفاده کنید تا کاهش فضا برای نفوذ فراهم شود. برای مقادیر کوچک می‌توانید از کیف پول‌های جداگانه با توکن‌های کم‌خطر استفاده کنید.
• محدود کردن استفاده از کلیپ‌بورد: هرگز عبارت بازیابی یا کلید خصوصی را در کلیپ‌بورد کپی نکنید؛ از مدیریت رمز عبور مطمئن و قابلیت‌های زمان‌بندی شده یا یک‌بارمصرف برای انتقال اطلاعات حساس بهره ببرید.
• منابع معتبر و مشاوره امنیتی: ابزارها و افزونه‌های کیف پول را تنها از منابع رسمی دانلود کنید و هشدارها و advisoryهای شرکت‌های امنیتی معتبر مانند Cisco Talos، شرکت‌های تحلیل زنجیره‌ای و انجمن‌های امنیتی را دنبال کنید.

دیدگاه‌های تحلیلی و توصیه‌های پیشرفته

به‌علاوه نکات عملی فوق، برخی توصیه‌های فنی‌تر می‌تواند برای سازمان‌ها و توسعه‌دهندگان که در حوزه Web3 فعالیت می‌کنند مفید باشد:

1. اعمال سیاست‌های کنترل اجرا (Application Execution Control): در سازمان‌ها می‌توان از ابزارهای کنترل اجرای برنامه برای محدود کردن اجرای اسکریپت‌های ناشناس یا بسته‌های غیرمجاز استفاده کرد.
2. استقرار راه‌حل‌های EDR و Network Detection: ابزارهای پیشرفته تشخیص endpoint و شبکه می‌توانند الگوهای رفتاری بدافزار را شناسایی و هشدار دهند؛ ترکیب این ابزارها با تحلیل لاگ و SIEM پیشنهاد می‌شود.
3. معماری کلید چندامضایی برای کیف پول‌های سازمانی: استفاده از ساختارهای چندامضایی (multisig) و حساب‌های سازمانی می‌تواند ریسک سرقت یک کلید واحد را کاهش دهد.
4. آموزش و آگاهی‌رسانی: کاربران و تیم‌های فنی باید آموزش‌های مرتبط با حملات فیشینگ، پکیج‌های npm جعلی، و روش‌های مهندسی اجتماعی را به‌صورت منظم ببینند تا احتمال کلیک یا اجرای کد مخرب کاهش یابد.
5. بررسی و اسکن وابستگی‌های زنجیره‌ای: ابزارهای تحلیل وابستگی و اسکن نرم‌افزار (SCA) می‌توانند پکیج‌های npm مخرب یا وابستگی‌های آلوده را در مراحل ساخت شناسایی کنند.

در نهایت، کمپین‌هایی مانند OtterCookie/BeaverTrail نشان می‌دهند که سطح حملات علیه اکوسیستم رمزنگاری افزایش یافته و بازیگران تهدید از زنجیره عرضه نرم‌افزار و روش‌های مهندسی اجتماعی برای هدف‌گیری کاربران و توسعه‌دهندگان بهره می‌برند. همگام بودن با توصیه‌های امنیتی، استفاده از کیف پول سخت‌افزاری برای مبالغ مهم و عدم اجرای کد ناشناس روی سیستم‌های اصلی، از مهم‌ترین گام‌ها برای کاهش ریسک سرقت کیف پول و محافظت از کلید خصوصی است.

منابع و ارجاعات فنی

برای مطالعه بیشتر و دسترسی به گزارش‌های فنی، توجه به منابع زیر می‌تواند مفید باشد: تحلیل‌های منتشرشده توسط Cisco Talos، گزارش‌های شرکت‌های امنیت سایبری فعال در حوزه بلاک‌چین، و اطلاعیه‌های رسمی ارائه‌دهندگان کیف پول مانند MetaMask. این منابع معمولاً شامل شاخص‌های سازگاری، نمونه‌های بدافزار و راهنمایی‌های تشخیصی برای تیم‌های فنی هستند.

اگر به کمک فنی نیاز دارید یا نمونه‌ای از فایل یا ترافیک شبکه‌ای مشکوک دارید، ذخیره و به اشتراک‌گذاری این شواهد با تحلیلگران معتبر می‌تواند سرعت پاسخ‌دهی و بازیابی را افزایش دهد. همیشه قبل از نصب هر ابزار امنیتی یا کیف پول جدید، از منابع رسمی دانلود کنید و هشدارهای امنیتی را مراقبت کنید.