5 دقیقه
نفوذ گسترده در NPM: تزریق بدافزار به کتابخانههای محبوب جاوااسکریپت
پژوهشگران امنیتی یک حمله بزرگ زنجیره تأمین روی پکیجهای Node Package Manager (NPM) را ردیابی کردند که بدافزار را در کتابخانههای پرکاربرد جاوااسکریپت وارد کرد. بستههای دستکاریشده که بهصورت وابستگیهای عمیق در شمار زیادی از پروژهها حضور دارند، پس از کشف یک بارِ مخرب هدفگیرِ رمزنگاری که در تلاش برای منحرفسازی وجوه از کیفپولهای اتریوم و سولانا بود، علامتگذاری شدند.
شرکت اطلاعاتی حوزه کریپتو Security Alliance این رخداد را تحلیل کرد و نتیجه گرفت که این حمله یکی از گستردهترین نفوذهای ثبتشده در اکوسیستم NPM است — بستههای متاثر شده مجموعاً میلیاردها دانلود داشتهاند — با این حال تا کنون زیان به اکوسیستم کریپتو بسیار ناچیز باقی مانده است.
سرقت اندکِ رمزارز تا کنون — اما میزان در معرض قرار گرفتن بسیار وسیع بود
با وجود دامنه نفوذ، Security Alliance گزارش داد که مهاجمان در مجموع کمتر از 50 دلار سرقت کردهاند. این گزارش یک آدرس اتریوم محتملِ مخرب را با عنوان "0xFc4a48" شناسایی کرد که مقدار کمی اتر و چند میمکوین دریافت کرده است. تلهمتری اولیه بهطور موقت تنها چند سنت اتر سرقتشده را نشان میداد و سپس رقم به حدود 50 دلار رسید؛ موضوعی که نشان میداد وقتی پژوهشگران یافتههای اولیه را منتشر کردند، حادثه هنوز در حال توسعه بود.
پژوهشگر امنیتی Samczsun که با اسم مستعار SEAL فعالیت میکند به گزارشگران گفت نفوذگر از دسترسی بهدستآمده بهصورت کامل استفاده نکرده است. او گفت: "مثل این است که کارت دسترسی به Fort Knox را پیدا کنید و از آن بهعنوان بوکمارک استفاده کنید،" و اشاره کرد که مدتی است مدلیابار مخرب توسط مدافعان تا حد زیادی بیاثر شده است.
کدام بستهها و پروژهها تحت تأثیر قرار گرفتند؟
نفوذ هدفگیرِ ماژولهای کمکی بود که بهطور گستردهای در درختهای وابستگی قرار دارند — بستههایی مانند chalk، strip-ansi و color-convert. از آنجا که این ماژولها часто بهصورت غیرمستقیم وارد میشوند، بسیاری از محیطهای توسعه و ساختهای تولیدی ممکن است در معرض قرار گرفته باشند حتی اگر تیمها هرگز آن بستهها را مستقیماً نصب نکرده باشند.
تحلیلها نشان میدهد مهاجمان یک بارِ مخرب از نوع crypto-clipper را مستقر کردهاند: بدافزاری که آدرسهای کیفپول قانونی را در کلیپبورد قربانی بهصورت مخفیانه با آدرسهای تحت کنترل مهاجم جایگزین میکند، و در زمان تأیید تراکنشهای on-chain باعث هدایت وجوه به مقصد مهاجم میشود.
ارائهدهندگان بزرگ کیفپول گزارش دادند که تحت تأثیر قرار نگرفتهاند
چندین کیفپول و پلتفرم بزرگ کریپتو اعلام کردند که تحت تأثیر این رخداد قرار نگرفتهاند. Ledger و MetaMask گفتند که تدابیر دفاعیشان از سوءاستفاده جلوگیری کرده است و به لایههای متعدد امنیتی اشاره کردند. Phantom Wallet اعلام کرد که از نسخههای آسیبپذیر بستهها استفاده نمیکند و Uniswap تأیید کرد که اپلیکیشنهای آن در خطر نبودهاند. پلتفرمهای دیگری از قبیل Aerodrome، Blast، Blockstream Jade و Revoke.cash نیز گزارش دادند که در معرض قرار نگرفتهاند.
چه اقداماتی کاربران و توسعهدهندگان باید اکنون انجام دهند
متخصصان امنیتی به توسعهدهندگان توصیه میکنند درختهای وابستگی را ممیزی کنند، اعتبارنامههای بهخطرافتاده را باطل و جایگزین کنند، و بستههای NPM آسیبپذیر را حذف یا بهروز کنند. کاربران نهایی باید در هنگام تأیید تراکنشهای on-chain محتاط باشند و تا زمان تأیید پاکسازی بستهها توسط توسعهدهندگان، از تعامل کیفپول با dAppها خودداری کنند. همانطور که یک بنیانگذار مستعار در شرکت تحلیل DeFiLlama اشاره کرد، تنها پروژههایی که پس از انتشار بستههای مخرب بهروزرسانی شدهاند — و در آنها کاربران یک تراکنش مخرب را تأیید کردهاند — احتمالاً متضرر خواهند شد.
اگرچه این رویداد خطر سیستماتیک حملات زنجیره تأمین در اکوسیستم جاوااسکریپت را برجسته میکند، کشف سریع و پاسخ هماهنگ باعث شد زیانهای کریپتو حداقلی باقی بماند. هوشیاری مداوم در مورد بهداشت وابستگیها، بررسی یکپارچگی بستهها و بهبود تجربه کاربری تأیید کیفپول برای امنیت بلاکچین و حفاظت از کیفپولهای کریپتو در برابر حملات آینده NPM همچنان ضروری است.
منبع: cointelegraph
.avif)
نظرات