هکرها با نفوذ به حساب کاربری یکی از توسعهدهندگان شناختهشده در NPM، بدافزاری را به کتابخانههای پرکاربرد جاوااسکریپت تزریق کردند؛ از این حمله بهعنوان بزرگترین حمله زنجیره تأمین تاریخ یاد میشود. این بدافزار با هدف سرقت داراییهای دیجیتال طراحی شده و از طریق جایگزینی آدرسهای کیف پول و دستکاری تراکنشها فعالیت میکند.
به گزارش میهن بلاکچین، بستههای معروفی مانند chalk، strip-ansi و color-convert هدف این حمله قرار گرفتهاند؛ کتابخانههایی که در عمق وابستگیهای میلیونها پروژه جاوااسکریپت قرار دارند و هر هفته بیش از یک میلیارد بار دانلود میشوند. به همین دلیل حتی توسعهدهندگانی که این کتابخانهها را بهطور مستقیم نصب نکردهاند، در معرض خطر قرار گرفتهاند.
روش حمله: فیشینگ و دسترسی به حسابهای توسعهدهندگان
چارلز گیومه (Charles Guillemet)، مدیر ارشد فناوری شرکت Ledger، هشدار داد:
یک حمله زنجیره تأمین در مقیاس گسترده در حال وقوع است؛ حساب کاربری یکی از توسعهدهندگان معتبر NPM هک و بستههای آلوده تاکنون بیش از یک میلیارد بار دانلود شدهاند. کل اکوسیستم جاوااسکریپت ممکن است در خطر باشد.
بر اساس گزارشها، مهاجمان با ارسال ایمیلهای جعلی به نگهدارندگان بستههای NPM، خود را بهعنوان پشتیبانی رسمی معرفی کردند و مدعی شدند که برای جلوگیری از قفل شدن حسابها باید تأیید هویت دو مرحلهای تا ۱۰ سپتامبر بهروزرسانی شود. این ایمیلها توسعهدهندگان را به یک سایت تقلبی هدایت کردند و از این طریق اطلاعات ورود آنها به دست هکرها افتاد. سپس مهاجمان توانستند نسخههای آلوده را به کتابخانهها تزریق کنند.
چارلی اریکسن (Charlie Eriksen)، پژوهشگر شرکت Aikido Security، در گفتوگو با BleepingComputer این حمله را «بسیار خطرناک» توصیف کرد زیرا:
در چندین لایه عمل میکرد: تغییر محتوای نمایش دادهشده روی وبسایتها، دستکاری فراخوانیهای API و تحریف امضای تراکنشها توسط برنامههای کاربران.
میزان خسارت: کمتر از ۵۰ دلار
با وجود گستردگی بیسابقه این نفوذ، دادههای اولیه نشان میدهد که تاکنون تنها ۵۰ دلار از طریق این بدافزار به سرقت رفته است. پلتفرم اطلاعاتی Security Alliance اعلام کرد که تنها یک آدرس مخرب اتریوم با شناسه «0xFc4a48» شناسایی شده که وجوه سرقتشده به آن منتقل شدهاند.
این آدرس علاوه بر مقداری اتر (ETH)، چند میمکوین شامل Brett، Andy، Dork Lord، Ethervista و Gondola دریافت کرده است. به گفته این پلتفرم، در ساعات اولیه تنها ۵ سنت اتر به سرقت رفته بود که بعداً این رقم به حدود ۵۰ دلار افزایش یافت.
سامکزسان (Samczsun)، پژوهشگر امنیتی شناختهشده، در این باره اظهار داشت:
هکر به هیچ عنوان از سطح دسترسی به دستآمده استفاده کامل نکرد. این اتفاق مثل این است که کارت ورود به خزانه فورت ناکس را پیدا کنید و از آن بهعنوان نشانک کتاب استفاده کنید. بدافزار بهطور گسترده پخش شده بود اما تقریباً کاملاً خنثی شده است.
به گفته 0xngmi، بنیانگذار ناشناس پلتفرم DeFiLlama، تنها پروژههایی که پس از انتشار نسخههای آلوده بستهها را بهروزرسانی کردهاند در معرض خطر قرار دارند و حتی در این شرایط، کاربر باید تراکنش مخرب را تأیید کند تا سرقت انجام شود. او تأکید کرد که این بدافزار قادر به تخلیه فوری کیف پولها نیست اما ممکن است جزئیات تراکنش هنگام کلیک روی دکمه «Swap» تغییر کرده و دارایی به آدرس هکر منتقل شود.
تاکنون چندین پروژه مهم کریپتو از جمله Ledger، MetaMask، Phantom Wallet و Uniswap اعلام کردهاند که از نسخههای آلوده استفاده نمیکنند و در نتیجه کاربران این پلتفرمها در امان هستند. همچنین سرویسهایی مانند Aerodrome، Blast، Blockstream Jade و Revoke.cash نیز خود را ایمن معرفی کردهاند.
نتیجهگیری
هرچند این حمله میتوانست خساراتی به مراتب بیشتر بهدنبال داشته باشد، اما فعلاً با سرقتی کمتر از ۵۰ دلار به پایان رسیده است. با این حال، گستردگی نفوذ نشان داد که آسیبپذیری در زنجیره تأمین نرمافزار تا چه حد میتواند تهدیدی جدی برای کل اکوسیستم باشد. کارشناسان امنیتی توصیه میکنند کاربران هنگام تأیید تراکنشها نهایت دقت را داشته باشند و توسعهدهندگان نیز تا پاکسازی کامل کتابخانهها از بهروزرسانی نسخههای آلوده خودداری کنند.
