هشدار مایکروسافت: بسته های ان پی ام حامل تروجان سرقت رمزارز

هشدار مایکروسافت: بسته های ان پی ام حامل تروجان سرقت رمزارز

1 نظرات

5 دقیقه

مایکروسافت درباره بسته‌های ان‌پی‌ام منتشرکننده تروجان سرقت رمزارز هشدار داد

مایکروسافت هشداری صادر کرده است مبنی بر اینکه دو بستهٔ ان‌پی‌ام به‌منظور استقرار تروجان دسترسی از راه دور طراحی و سوءاستفاده شده‌اند که برای استخراج اعتبارنامه‌های کیف‌پول رمزارز و سایر اسرار حساس توسعه‌دهندگان به کار می‌رود. این کشف نشان‌دهندهٔ تهدید مداوم زنجیرهٔ تامین است که ابزارها و ماشین‌هایی را هدف قرار می‌دهد که برای ساخت و بهره‌برداری از زیرساخت‌های رمزارز استفاده می‌شوند.

جزئیات حمله: بسته‌های ان‌پی‌ام آلوده و خروج غیرمنتظره داده

تیم اطلاعات تهدید مایکروسافت دو ماژول ان‌پی‌ام آلوده را شناسایی کرد — یوتیلز-ترمینال@3.2.1 و لاگر-اکتیو@3.2.1 — که بدافزاری نصب می‌کنند که قادر به ثبت ضربه‌های صفحه‌کلید، ثبت عکس از صفحه و کاوش فایل‌هایی است که معمولاً شامل کیف‌پول‌ها، کلیدهای رابط برنامه‌نویسی و توکن‌های احراز هویت می‌شود. مهاجمان سپس از مخازن هاگینگ‌فیس برای انتقال داده‌های سرقت‌شده استفاده کردند، روشی که می‌تواند خروج داده را در ترافیک مشروع هوش مصنوعی و یادگیری ماشین مخلوط کند و تشخیص توسط کنترل‌های امنیتی سنتی را دشوار سازد.

بسته‌های ان‌پی‌ام آلوده (یوتیلز-ترمینال@3.2.1، لاگر-اکتیو@3.2.1) از مخازن هاگینگ‌فیس به‌عنوان زیرساخت خروج داده سوءاستفاده می‌کنند. این بسته‌ها تروجان دسترسی از راه دور را استقرار می‌دهند که ضربه‌های صفحه‌کلید، عکس‌های صفحه و اطلاعات کیف‌پول رمزارز را ثبت می‌کند.

چرا توسعه‌دهندگان و کاربران رمزارز در معرض خطر هستند

ان‌پی‌ام یک رجیستری عمومی پرکاربرد برای بسته‌های جاوااسکریپت است. وقتی یک توسعه‌دهنده وابستگی آلوده را نصب می‌کند، بدافزار می‌تواند به‌صورت خاموش روی ماشین میزبان اجرا شده و به دنبال آثار باارزش بگردد: افزونه‌های مرورگر کیف‌پول، کلیدهای خصوصی، فایل‌های عبارت بازیابی، کلیدهای رابط برنامه‌نویسی صرافی‌ها، توکن‌های گیت‌هاب و اعتبارات سرویس‌های ابری. سیستم‌های توسعه‌دهندهٔ آلوده مسیرهای مستقیمی در اختیار مهاجمان قرار می‌دهند تا کیف‌پول‌ها را خالی کنند، حساب‌های معاملاتی را ربوده یا کد مخرب را وارد محیط‌های تولید کنند.

زمینهٔ زنجیرهٔ تأمین: بخشی از یک روند بزرگ‌تر

این هشدار در پی وقایع اخیر زنجیرهٔ تامین است که اکوسیستم‌های رمزارز و توسعه‌دهنده را تحت تأثیر قرار داده‌اند. کمپین‌های پیشین — از جمله عملیات تراپ‌دور — از بسته‌ها در رجیستری‌های ان‌پی‌ام، پای‌پای‌آی و راست سوءاستفاده کرده‌اند تا اعتبارنامه‌ها را بدزدند و به اسرار دسترسی پیدا کنند. گزارش‌های دیگر نسخه‌های مخرب اکسایوس و بارهای مخرب ان‌پی‌ام را نشان داده‌اند که تروجان‌های چندسکویی یا بدافزارهای مبتنی بر کریپتو-جی‌اس را نصب می‌کنند و به‌طور ویژه توسعه‌دهندگان حوزهٔ رمزارز و هوش مصنوعی را هدف قرار می‌دهند.

تهدیدهای استخراج رمزارز و ماینرهای جی‌پی‌یو

مایکروسافت همچنین اخیراً کمپین‌های جداگانه‌ای را هشدار داد که از نتایج جستجوی آلوده و دانلودهای جعلی ابزارها برای تحویل بدافزارهای استخراج روی سیستم‌های کارایی بالا استفاده کردند. آن حملات از نصب‌کننده‌های تقلبی برای ابزارهایی مانند کریستال‌دیسک‌اینفو و اِچ‌دبلیو‌مانیتور سوءاستفاده کردند و از نرم‌افزارهای مدیریت از راه دور مانند اسکرین‌کانکت برای اجرای ماینرها بهره بردند، که گیمرها، علاقه‌مندان سخت‌افزار و ایستگاه‌های کاری توسعه‌دهندگان را در معرض خطر قرار می‌دهد.

گام‌های عملی کاهش خطر برای توسعه‌دهندگان و دارندگان رمزارز

تیم‌های امنیتی و توسعه‌دهندگان منفرد باید این هشدار را به‌عنوان فرصتی برای تقویت کنترل‌ها در سراسر زنجیرهٔ تأمین نرم‌افزار و ایستگاه‌های کاری توسعه‌دهنده در نظر بگیرند.

اقدامات فوری

- بررسی نصب‌های اخیر ان‌پی‌ام و فایل‌های فهرست وابستگی؛ بسته‌های مشکوک را حذف یا جایگزین کنید. - تغییر دوره‌ای اعتبارنامه‌ها و کلیدهای رابط برنامه‌نویسی که روی ماشین‌های احتمالاً آلوده قرار داشتند. - لغو و بازصدور توکن‌های گیت‌هاب و کلیدهای سرویس‌های ابری ذخیره‌شده روی میزبان‌های آلوده. - بررسی فعالیت کیف‌پول‌ها و لاگ‌های تراکنش؛ هر فعالیت غیرمجاز را فوراً به صرافی‌ها گزارش دهید.

سخت‌سازی مداوم

- از ذخیرهٔ عبارت بازیابی یا کلیدهای خصوصی روی دستگاه‌های متصل به اینترنت خودداری کنید؛ برای نگهداری از کیف‌پول‌های سخت‌افزاری استفاده کنید. - از ابزارهای اسکن وابستگی، فهرست مواد نرم‌افزاری و امضای بسته‌ها برای تایید اجزا قبل از نصب بهره ببرید. - محیط‌های توسعه را از کلیدها و اسرار تولید جدا کنید؛ خطوط یکپارچه‌سازی و استقرار را با کمترین سطح دسترسی محدود کنید. - قابلیت‌های تشخیص و پاسخ نقطه‌پایانی را فعال کنید، پایش شبکه برای ترافیک خروجی غیرعادی را برقرار نمایید و مسیرهای خروج دادهٔ غیرمنتظره را مسدود کنید، از جمله سوءاستفاده از پلتفرم‌های میزبانی ابری یا هوش مصنوعی ثالث. - تمام تراکنش‌های کیف‌پول را قبل از امضا بررسی کنید و احراز هویت چندمرحله‌ای را در صرافی‌ها و سرویس‌های کلیدی فعال کنید.

نتیجه‌گیری

راهنمایی مایکروسافت یادآور این است که مهاجمان مدرن سازندگان را به‌عنوان یک مسیر میانبر به اهداف باارزش هدف قرار می‌دهند. برای بخش رمزارز، امن کردن روند کاری توسعه‌دهندگان، بررسی وابستگی‌های متن‌باز و جدا کردن کلیدهای خصوصی دفاع‌های ضروری در برابر تروجان‌های مبتنی بر ان‌پی‌ام، استخراج مخرب رمزارز و سایر تهدیدهای زنجیرهٔ تامین است. هوشیار بمانید: وابستگی‌ها را ممیزی کنید، اعتبارنامه‌های در معرض را تغییر دهید و کلیدهای حساس را به ذخیرهٔ سرد یا کیف‌پول سخت‌افزاری منتقل کنید تا ریسک از دست‌دادن فاجعه‌بار کاهش یابد.

منبع: crypto

ارسال نظر

نظرات

دیتاپالس

واااای جدی؟ فقط با یه بسته npm می‌تونن به کیف پول دسترسی پیدا کنن... باید فوری وابستگی‌ها رو چک کنم، وحشتناک.

پاسخ

مطالب مرتبط