هشدار فوری برای کاربران اتریوم و بایننس اسمارت چین

پژوهشگران Cisco Talos از کمپین بدافزاری OtterCookie/BeaverTrail خبر داده‌اند که با اپ تقلبی و بسته npm مخرب، کلیدهای خصوصی و داده‌های کیف پول‌های اتریوم و BSC را هدف می‌گیرد؛ راه‌های پیشگیری و واکنش فوری شرح داده شده است.

نظرات
هشدار فوری برای کاربران اتریوم و بایننس اسمارت چین

10 دقیقه

هشدار فوری برای کاربران اتریوم و بایننس اسمارت چین

پژوهشگران امنیتی در Cisco Talos یک کمپین سایبری مرتبط با کره شمالی را شناسایی کرده‌اند که از خانواده بدافزاری شناخته‌شده‌ای تحت عنوان OtterCookie/BeaverTrail استفاده می‌کند تا وجوه و اطلاعات احراز هویت کاربران شبکه‌های اتریوم و بایننس اسمارت چین (BSC) را سرقت کند. بازیگران تهدید این بدافزار را از طریق یک نرم‌افزار تقلبی ارز دیجیتال و همچنین یک بسته مخرب npm توزیع می‌کنند. عملکرد این بدافزار شامل سرقت کلیدهای خصوصی، محتوای کلیپ‌بورد، تصاویر صفحه و داده‌های کیف پول مرورگر مانند MetaMask است.

این گزارش برای کاربران کیف پول گرم (hot wallets)، توسعه‌دهندگان بسته‌های npm، و هر کسی که از افزونه‌های مرورگر برای مدیریت ارز دیجیتال استفاده می‌کند، هشداری جدی است. هدف اصلی مهاجمان گرفتن دسترسی به کلیدهای خصوصی یا عبارات بازیابی و سپس انتقال دارایی‌ها به آدرس‌های تحت کنترلشان است که معمولاً امکان بازگشت وجوه را عملاً غیرممکن می‌کند.

زمینه و اهمیت تهدید

خطراتی مانند OtterCookie/BeaverTrail نشان می‌دهد که حملات زنجیره تأمین نرم‌افزار (software supply chain attacks) و توزیع بدافزار از طریق بسته‌های npm یا اپلیکیشن‌های جعلی، یکی از بردارهای اصلی سرقت در حوزه بلاک‌چین شده‌اند. کاربران اتریوم و BSC به دلیل سازگاری گسترده کیف پول‌های مرورگر و تعامل با قراردادهای هوشمند، در معرض ریسک بالاتری برای افشای کلید خصوصی و امضای تراکنش‌های مخرب قرار دارند.

در ادامه این مطلب، شرح فنی نحوه عملکرد حمله، مراحل فوری که قربانیان باید انجام دهند، راهکارهای پیشگیرانه، و شاخص‌های تشخیصی (IOCs) ارائه شده است تا خوانندگان بتوانند حفاظت بهتر و تصمیم‌گیری آگاهانه‌تری داشته باشند.

نحوه عملکرد حمله

مهاجمان معمولاً قربانیان را با پیشنهادهای کاری جعلی، فرصت‌های سرمایه‌گذاری یا پروژه‌های دروغین فریب می‌دهند تا کاربر کد یا بسته‌ای از منبع ناموثق اجرا کند. هنگامی که کاربر یک فایل جاوااسکریپت مبهم‌سازی‌شده (obfuscated JavaScript) را اجرا کند، بدافزار OtterCookie/BeaverTrail نصب شده و شروع به جمع‌آوری اطلاعات حساس می‌کند.

مراحل کلی حمله به طور خلاصه عبارتند از:

  • فاز فیشینگ یا فریب اولیه: اشتراک‌گذاری لینک نصب اپ تقلبی، بسته npm مخرب یا فایل جاوااسکریپت در پوشش پیشنهاد شغلی یا پروژه.
  • اجرای کد مبهم‌شده: کاربر کد مخرب را روی سیستم اصلی خود اجرا می‌کند — این نقطه ورود اصلی برای کمپین‌های ربودن کیف پول است.
  • استقرار ماژول‌های جاسوسی: بدافزار ماژول‌هایی برای خواندن کلیپ‌بورد، گرفتن اسکرین‌شات، استخراج فایل‌های دارای کلید خصوصی یا فایل‌های پیکربندی کیف پول مرورگر نصب می‌کند.
  • استفاده از افزونه‌ها و APIهای مرورگر: در صورت وجود افزونه کیف پول مانند MetaMask یا پروایدر window.ethereum، بدافزار سعی می‌کند داده‌های مرتبط با کیف پول و تراکنش‌های امضا نشده را آشکار کند یا از طریق تزریق کد به جریان تراکنش‌ها مداخله کند.
  • استخراج و ارسال داده‌ها: اطلاعات جمع‌آوری‌شده (کلیدها، تصاویر، فایل‌ها، متادیتا) به سرورهای کنترل و فرمان (C2) ارسال می‌شود تا مهاجمان بتوانند دارایی‌ها را در مرحله بعدی منتقل کنند.

این مدل حمله به ویژه وقتی خطرناک است که کاربر کد را روی دستگاه اصلی روزمره خود اجرا کند؛ اجرای کد ناشناس در یک محیط قابل اعتماد (مثل پی‌سی شخصی که حاوی کیف پول گرم است) بیشترین مخاطره را دارد.

ویژگی‌های فنی و رفتار بدافزار

برخی از رفتارها و قابلیت‌های فنی که محققان در نمونه‌های OtterCookie/BeaverTrail گزارش کرده‌اند عبارتند از:

  • خواندن کلیپ‌بورد سیستم برای یافتن عبارات بازیابی (seed phrase) یا کلیدهای خصوصی که کاربران ممکن است برای جابجایی سریع از آن استفاده کنند.
  • ثبت و ارسال اسکرین‌شات‌ها از جلسات مرورگر و فرم‌های وب که ممکن است به افشای اطلاعات حساس منجر شود.
  • خواندن فایل‌های ذخیره‌شده محلی مانند فایل‌های JSON مربوط به کیف پول‌های مرورگر یا فایل‌های پیکربندی node.
  • قابلیت ماندگاری و اجرا در راه‌اندازی‌های بعدی سیستم با استفاده از مکانیزم‌های روتین اجرا (autostart) یا اسکریپت‌های نصب شده.
  • استفاده از کانال‌های شبکه رمزنگاری‌شده یا روش‌های رمزگذاری شده برای تخفیف ردپای ارتباط با سرورهای مهاجم.

اگرچه مشخصات دقیق هر نمونه ممکن است متفاوت باشد، الگوی کلی نشان می‌دهد که این بدافزار برای هدف‌گیری کیف پول‌های مرورگر و کاربران توسعه‌دهنده پلتفرم‌های مبتنی بر جاوااسکریپت طراحی شده است.

مراحل فوری برای افراد مشکوک به آلودگی

اگر شک دارید سیستم یا کیف پول شما به این بدافزار آلوده شده است، باید اقدامات فوری و محافظه‌کارانه انجام دهید. مهم است که فرض کنید تمام کیف پول‌های گرم (hot wallets) در آن دستگاه به خطر افتاده‌اند و تا تأیید کامل، از آن‌ها استفاده نکنید.

گام‌های عملی و الزامی

  1. انتقال فوری دارایی‌ها: در صورت امکان، با استفاده از یک دستگاه پاک یا کیف پول سخت‌افزاری (hardware cold wallet) وجوه باقی‌مانده را انتقال دهید. هر گونه ذخیره‌سازی کلیدها یا عبارات بازیابی روی سیستم آلوده را به عنوان در معرض خطر در نظر بگیرید.
  2. لغو دسترسی‌ها و توکن‌ها: دسترسی قراردادها یا approveهای مربوط به توکن‌ها را از طریق ابزارهای شناخته‌شده نظیر پنل‌های مدیریت مجوز یا سرویس‌هایی مانند revoke.cash بررسی و در صورت لزوم لغو کنید. این کار مانع استفاده از توکن‌های شما توسط آدرس‌های دارای دسترسی می‌شود.
  3. تعویض اعتبارنامه‌ها: رمزهای عبور حساب‌های مرتبط با ایمیل، صرافی‌ها و کیف پول‌ها را تغییر دهید و احراز هویت دو مرحله‌ای (2FA) را فعال کنید.
  4. بازتثبیت یا نصب مجدد سیستم عامل: برای حذف امکان وجود کدهای ماندگار، نصب مجدد سیستم‌عامل توصیه می‌شود. از بکاپ‌های احتمالی که ممکن است آلوده باشند اجتناب کنید.
  5. پاکسازی کلیپ‌بورد و احتیاط در پِیست: از چسباندن (paste) عبارت بازیابی یا کلید خصوصی در هر نرم‌افزار یا فرم آنلاین خودداری کنید. ابزارهایی وجود دارند که کلیپ‌بورد را اتوماتیکاً پاک می‌کنند؛ از آن‌ها استفاده کنید.
  6. استفاده از کیف پول‌های سخت‌افزاری و امضا آفلاین: حتی برای انتقال فوری، اگر امکان دارد از کیف پول سخت‌افزاری برای امضای تراکنش‌ها استفاده کنید تا کلید خصوصی هرگز روی سیستمی که به اینترنت متصل است وارد نشود.

اگر امکان انتقال فیزیکی فوری وجود ندارد یا مطمئن نیستید چگونه این کار را با ایمنی انجام دهید، با تیم پشتیبانی کیف پول یا یک مشاور امنیت سایبری معتبر مشورت کنید تا ریسک خطا و از دست دادن دارایی کاهش یابد.

پیشگیری و بهترین شیوه‌ها

پیشگیری از این نوع حملات نیاز به ترکیبی از محرک‌های فنی، عادت‌های ایمن کاربری و سیاست‌های مدیریتی دارد. در ادامه مجموعه‌ای از گام‌های عملیاتی و توصیه‌های فنی برای حفاظت کاربران اتریوم و بایننس اسمارت چین آورده شده است.

توصیه‌های کلی برای کاربران

  • از اجرای بسته‌های npm غیرقابل اعتماد و کدهای ناشناخته در دستگاه اصلی خود جداً خودداری کنید؛ خصوصاً اگر آن دستگاه حاوی کیف پول گرم یا اطلاعات حساس است.
  • برای نگهداری مبالغ قابل توجه از کیف پول‌های سخت‌افزاری معتبر استفاده کنید و عبارت بازیابی را به‌صورت آفلاین و امن ذخیره کنید.
  • در افزونه‌های کیف پول مانند MetaMask به‌طور منظم فهرست approveها را بررسی کنید و موافقت‌های قدیمی یا نامشخص را لغو کنید.
  • احراز هویت چندعاملی (MFA/2FA) را در حساب‌های مرتبط (ایمیل، پلتفرم‌های صرافی) فعال کنید تا دسترسی غیرمجاز دشوارتر شود.
  • از نصب افزونه‌ها یا افزونه‌های مرورگر از منابع ناشناس خودداری کنید و تنها از وب‌سایت رسمی و نسخه‌های تأییدشده استفاده کنید.

تکنیک‌های توسعه‌دهندگان و تیم‌های فنی

توسعه‌دهندگان بسته‌های npm و ابزارهای کریپتو باید با درک ریسک‌های زنجیره تأمین اقدامات زیر را در دستور کار قرار دهند:

  • استفاده از امضای دیجیتال برای بسته‌ها و ارائه راهنمایی واضح برای کاربران در مورد نحوه اعتبارسنجی بسته‌ها.
  • اجتناب از اسکریپت‌های postinstall که می‌توانند کدهای دلخواه را اجرا کنند یا، در صورت نیاز، مستند کردن دقیق و محدود کردن آن‌ها.
  • اجرای بررسی‌های امنیتی خودکار و دستی روی کد منبع و وابستگی‌ها، و انتشار نتایج بررسی در رپوزیتوری برای افزایش شفافیت.
  • آموزش کاربران نهایی درباره خطر اجرای کد ناشناس و فراهم آوردن نسخه‌های باینری رسمی یا روش‌های نصب کم‌خطر.

ابزارها و راهکارهای فنی برای محافظت

چند ابزار و روش می‌تواند به کاهش احتمال ابتلا کمک کند:

  • استفاده از کیف پول‌های سخت‌افزاری برای امضای تراکنش‌ها، حتی در حین تعامل با dAppها.
  • استفاده از محیط‌های ایزوله مانند ماشین‌های مجازی یا محیط‌های sandbox برای آزمایش بسته‌ها و اسکریپت‌های ناشناس قبل از اجرای آن‌ها روی دستگاه اصلی.
  • نصب و به‌روزرسانی منظم آنتی‌ویروس‌های معتبر و ابزارهای تشخیص رفتاری (EDR) برای شناسایی فعالیت‌های غیرمعمول مانند خواندن کلیپ‌بورد یا گرفتن اسکرین‌شات.
  • نظارت بر موجودی و فعالیت آدرس‌ها با سرویس‌های هشداردهی بلاک‌چین تا در صورت تراکنش مشکوک سریعاً مطلع شوید.

شاخص‌های تشخیص و پاسخ به حادثه

برای تیم‌های امنیتی و کاربرانی که می‌خواهند بررسی دقیق‌تری انجام دهند، تعدادی شاخص تشخیص (IOCs) و روش‌های پاسخ به حادثه ارزشمند هستند:

شاخص‌های رفتاری و فنی

  • ارتباطات خروجی به سرورهای ناشناخته یا دامنه‌های جدید که همزمان با نصب بسته یا اجرای اسکریپت آغاز می‌شوند.
  • فعالیت‌های خواندن کلیپ‌بورد یا ثبت اسکرین‌شات‌های متوالی بدون تعامل کاربر.
  • ایجاد فایل‌های مشکوک در مسیرهای معمولی ذخیره کیف پول یا پوشه‌های پروژه‌های جاوااسکریپت.
  • تغییرات در اسکریپت‌های autostart یا اضافه شدن فایل‌های اجرایی در مسیرهای راه‌اندازی سیستم.

پاسخ به حادثه و بازیابی

  1. قطع فوری دسترسی شبکه دستگاه آلوده و جداسازی آن از شبکه‌های سازمانی یا خانگی.
  2. تهیه نسخه‌ای از لاگ‌ها، نمونه‌های فایل‌های مشکوک و ارتباطات شبکه برای تحلیل‌های بعدی و ارائه به واحدهای پاسخ به حادثه یا محققان امنیتی معتبر.
  3. در صورت تأیید آلودگی، انجام نصب مجدد سیستم‌عامل و بازنشانی کامل محیط کاری؛ سپس انتقال امن کلیدها و بازیابی دارایی‌ها از منابع امن.
  4. اطلاع‌رسانی به صرافی‌ها یا سرویس‌های ثالث در صورتی که کیف پول یا حساب‌های مرتبط تحت تأثیر قرار گرفته باشند.

نتیجه‌گیری و توصیه نهایی

کمپین‌های سرقت کیف پول که با بدافزارهایی مانند OtterCookie/BeaverTrail انجام می‌شوند، نشان‌دهنده این واقعیت است که زنجیره تأمین نرم‌افزار و اجرای کد ناشناس، تهدیدهای اصلی برای امنیت دارایی‌های دیجیتال هستند. برای محافظت از سرمایه و اطلاعات حساس، ترکیبی از اقدامات فنی (کیف پول سخت‌افزاری، محیط‌های ایزوله، بررسی وابستگی‌ها) و رفتارهای محافظتی (عدم اجرای کد ناشناس، مدیریت approveها، فعال‌سازی 2FA) حیاتی است.

به کاربران توصیه می‌شود هشیار باشند، از منابع رسمی و تأییدشده استفاده کنند، و در صورت کوچک‌ترین شک به آلودگی، فوراً اقدامات حفاظتی توصیف‌شده را اجرا کنند. اضافه بر این، سازمان‌ها و توسعه‌دهندگان باید رویکردهای امنیتی زنجیره تأمین را تقویت کنند تا از توزیع بسته‌های مخرب جلوگیری شود.

برای منابع بیشتر و هشدارهای به‌روز، دنبال‌کردن اطلاعیه‌های تیم‌های تحقیقاتی مانند Cisco Talos و منابع معتبر امنیتی بلاک‌چین توصیه می‌شود تا از تبدیل شدن به قربانی چنین حملاتی جلوگیری شود.

منبع: smarti

ارسال نظر

نظرات

مطالب مرتبط