هشدار مایکروسافت درباره بسته های npm مخرب سارق رمزارز

مایکروسافت از دو بسته آلوده npm خبر داد که با نصب RAT، اطلاعات کیف پول رمزارز، کلیدهای API و اسرار توسعه‌دهندگان را سرقت می‌کنند و زنجیره تأمین نرم‌افزار را تهدید می‌کنند.

4 نظرات
هشدار مایکروسافت درباره بسته های npm مخرب سارق رمزارز

5 دقیقه

هشدار مایکروسافت درباره بسته‌های npm منتشرکننده RAT سارق رمزارز

مایکروسافت هشدار داده است که دو بسته npm به ابزار حمله تبدیل شده‌اند و برای استقرار یک تروجان دسترسی از راه دور (RAT) به کار می‌روند؛ بدافزاری که برای جمع‌آوری اطلاعات ورود کیف پول رمزارز و دیگر اسرار حساس توسعه‌دهندگان طراحی شده است. این کشف بار دیگر نشان می‌دهد تهدیدهای زنجیره تأمین نرم‌افزار همچنان ابزارها و رایانه‌هایی را هدف می‌گیرند که برای ساخت، نگهداری و اجرای زیرساخت‌های کریپتو استفاده می‌شوند.

جزئیات حمله: بسته‌های npm آلوده و خروج غیرمنتظره داده‌ها

تیم اطلاعات تهدید مایکروسافت دو ماژول npm آلوده را شناسایی کرده است، [email protected] و [email protected]، که بدافزاری را نصب می‌کنند که قادر است کلیدهای فشرده‌شده را ثبت کند، از صفحه نمایش اسکرین‌شات بگیرد و فایل‌هایی را جست‌وجو و استخراج کند که اغلب شامل کیف پول‌ها، کلیدهای API و توکن‌های احراز هویت هستند. مهاجمان سپس از مخازن Hugging Face برای انتقال داده‌های سرقت‌شده استفاده کرده‌اند؛ روشی که می‌تواند خروج داده را در میان ترافیک مشروع هوش مصنوعی و یادگیری ماشین پنهان کند و شناسایی آن را برای کنترل‌های امنیتی سنتی دشوارتر سازد.

بسته‌های npm آلوده، [email protected] و [email protected]، از مخازن Hugging Face به عنوان زیرساخت خروج داده سوءاستفاده می‌کنند. این بسته‌ها یک تروجان دسترسی از راه دور (RAT) را نصب می‌کنند که کلیدهای فشرده‌شده، تصاویر صفحه و اطلاعات ورود کیف پول رمزارز را جمع‌آوری می‌کند.

چرا توسعه‌دهندگان و کاربران رمزارز در معرض خطر هستند

npm یک رجیستری عمومی پرکاربرد برای بسته‌های جاوااسکریپت است. وقتی توسعه‌دهنده یک وابستگی آلوده را نصب می‌کند، بدافزار می‌تواند بی‌سروصدا روی دستگاه میزبان اجرا شود و به دنبال دارایی‌های ارزشمند بگردد: کیف پول‌های افزونه مرورگر، کلیدهای خصوصی، فایل‌های عبارت بازیابی، کلیدهای API صرافی، توکن‌های GitHub و اطلاعات ورود سرویس‌های ابری. سامانه‌های توسعه‌دهنده آلوده مسیر مستقیمی در اختیار مهاجمان می‌گذارند تا کیف پول‌ها را خالی کنند، حساب‌های معاملاتی را تصاحب کنند یا کد مخرب را به محیط‌های تولیدی وارد کنند.

زمینه زنجیره تأمین: بخشی از یک روند بزرگ‌تر

این هشدار در ادامه رخدادهای اخیر زنجیره تأمین است که اکوسیستم‌های رمزارز و توسعه نرم‌افزار را تحت تأثیر قرار داده‌اند. کمپین‌های پیشین، از جمله عملیات TrapDoor، از بسته‌ها در رجیستری‌های npm، PyPI و Rust سوءاستفاده کردند تا اطلاعات ورود و اسرار دسترسی را سرقت کنند. گزارش‌های دیگر نیز به نسخه‌های مخرب Axios و محموله‌های npm اشاره کرده‌اند که RATهای چندسکویی یا بدافزار plain-crypto-js را نصب می‌کنند و به طور ویژه توسعه‌دهندگان حوزه کریپتو و هوش مصنوعی را هدف می‌گیرند.

کریپتوجکینگ و تهدیدهای ماینر GPU

مایکروسافت همچنین به تازگی کمپین‌های جداگانه‌ای را گزارش کرده است که از نتایج جست‌وجوی آلوده و دانلودهای جعلی ابزارهای کاربردی برای تحویل بدافزار استخراج با GPU به سیستم‌های پرقدرت استفاده می‌کردند. این حملات از نصب‌کننده‌های تقلبی ابزارهایی مانند CrystalDiskInfo و HWMonitor بهره می‌بردند و از نرم‌افزارهای مدیریت از راه دور مانند ScreenConnect سوءاستفاده می‌کردند تا ماینرهای رمزارز را اجرا کنند؛ موضوعی که گیمرها، علاقه‌مندان سخت‌افزار و ایستگاه‌های کاری توسعه‌دهندگان را در معرض خطر قرار می‌دهد.

اقدام‌های عملی کاهش ریسک برای توسعه‌دهندگان و دارندگان رمزارز

تیم‌های امنیتی و توسعه‌دهندگان مستقل باید این هشدار را فرصتی برای تقویت کنترل‌ها در سراسر زنجیره تأمین نرم‌افزار و ایستگاه‌های کاری توسعه‌دهندگان بدانند.

اقدام‌های فوری

- نصب‌های اخیر npm و فایل‌های وابستگی را بررسی کنید و بسته‌های مشکوک را حذف یا جایگزین کنید. - اعتبارنامه‌ها و کلیدهای API را که روی دستگاه‌های احتمالا آلوده وجود داشته‌اند، تغییر دهید. - توکن‌های GitHub و کلیدهای سرویس‌های ابری ذخیره‌شده روی میزبان‌های آلوده را لغو و دوباره صادر کنید. - فعالیت کیف پول و گزارش تراکنش‌ها را بررسی کنید و هرگونه فعالیت غیرمجاز را فورا به صرافی‌ها اطلاع دهید.

مقاوم‌سازی مستمر

- از ذخیره عبارت بازیابی یا کلید خصوصی روی دستگاه‌های متصل به اینترنت خودداری کنید و برای نگهداری دارایی‌ها، کیف پول سخت‌افزاری را در اولویت قرار دهید. - پیش از نصب، از ابزارهای اسکن وابستگی، SBOM یا فهرست مواد نرم‌افزاری و امضای بسته برای راستی‌آزمایی مصنوعات نرم‌افزاری استفاده کنید. - محیط‌های توسعه را از کلیدها و اسرار تولیدی جدا کنید و CI/CD را با اعتبارنامه‌های دارای حداقل سطح دسترسی محدود کنید. - قابلیت شناسایی و پاسخ نقطه پایانی (EDR)، پایش شبکه برای ترافیک خروجی غیرعادی و مسدودسازی مسیرهای غیرمنتظره خروج داده را فعال کنید؛ از جمله سوءاستفاده از پلتفرم‌های ابری شخص ثالث یا میزبانی هوش مصنوعی. - پیش از امضای هر تراکنش کیف پول، آن را بررسی کنید و احراز هویت چندعاملی را در صرافی‌ها و سرویس‌های کلیدی فعال نگه دارید.

جمع‌بندی

هشدار مایکروسافت یادآوری می‌کند که مهاجمان امروزی برای رسیدن سریع‌تر به اهداف ارزشمند، سازندگان و توسعه‌دهندگان را هدف قرار می‌دهند. برای بخش رمزارز، ایمن‌سازی جریان‌های کاری توسعه، ارزیابی دقیق وابستگی‌های متن‌باز و جداسازی کلیدهای خصوصی از دفاع‌های ضروری در برابر RATهای مبتنی بر npm، کریپتوجکینگ و دیگر تهدیدهای زنجیره تأمین است. هوشیار بمانید: وابستگی‌ها را ممیزی کنید، اعتبارنامه‌های افشاشده را تغییر دهید و کلیدهای حساس را به ذخیره‌سازی سرد یا کیف پول سخت‌افزاری منتقل کنید تا خطر زیان‌های سنگین و غیرقابل جبران کاهش یابد.

منبع: crypto

ارسال نظر

نظرات

پاولو

خلاصه: وابستگی‌ها رو ممیزی کنید، کلیدها رو از محیط dev جدا نگه دارید، احراز هویت چندمرحله‌ای روشن باشه. ساده و موثر.

پاسخ
مهرداد

هفته قبل یه بسته نصب کردم، حالا می‌ترسم؛ توکن‌ها رو دارم عوض میکنم. کاش از اول کیف سخت‌افزاری میذاشتم، درس عبرت شد، واقعاً.

پاسخ
کوینکس

این واقعاً درستِ؟ استفاده از Hugging Face برای خروج داده ها، یعنی پنهان کاری تو دل ترافیک AI؟ شواهد بیشتر لازم داریم.

پاسخ
دیتاپالس

وای جدی؟ یعنی یه بسته npm میتونه کل کیف و کلیدامو کش بره؟ باید همه dependency ها رو سریع چک کنم، این وحشتناکه...

پاسخ

مطالب مرتبط