حمله زنجیره تامین تاریخی به کتابخانه‌های جاوااسکریپت؛ تنها ۵۰ دلار سرقت شد

هکرها با نفوذ به حساب کاربری یکی از توسعه‌دهندگان شناخته‌شده در NPM، بدافزاری را به کتابخانه‌های پرکاربرد جاوااسکریپت تزریق کردند؛ از این حمله به‌عنوان بزرگ‌ترین حمله زنجیره تأمین تاریخ یاد می‌شود. این بدافزار با هدف سرقت دارایی‌های دیجیتال طراحی شده و از طریق جایگزینی آدرس‌های کیف پول و دست‌کاری تراکنش‌ها فعالیت می‌کند.

به گزارش میهن بلاکچین، بسته‌های معروفی مانند chalk، strip-ansi و color-convert هدف این حمله قرار گرفته‌اند؛ کتابخانه‌هایی که در عمق وابستگی‌های میلیون‌ها پروژه جاوااسکریپت قرار دارند و هر هفته بیش از یک میلیارد بار دانلود می‌شوند. به همین دلیل حتی توسعه‌دهندگانی که این کتابخانه‌ها را به‌طور مستقیم نصب نکرده‌اند، در معرض خطر قرار گرفته‌اند.

روش حمله: فیشینگ و دسترسی به حساب‌های توسعه‌دهندگان

چارلز گیومه (Charles Guillemet)، مدیر ارشد فناوری شرکت Ledger، هشدار داد:

یک حمله زنجیره تأمین در مقیاس گسترده در حال وقوع است؛ حساب کاربری یکی از توسعه‌دهندگان معتبر NPM هک و بسته‌های آلوده تاکنون بیش از یک میلیارد بار دانلود شده‌اند. کل اکوسیستم جاوااسکریپت ممکن است در خطر باشد.

بر اساس گزارش‌ها، مهاجمان با ارسال ایمیل‌های جعلی به نگه‌دارندگان بسته‌های NPM، خود را به‌عنوان پشتیبانی رسمی معرفی کردند و مدعی شدند که برای جلوگیری از قفل شدن حساب‌ها باید تأیید هویت دو مرحله‌ای تا ۱۰ سپتامبر به‌روزرسانی شود. این ایمیل‌ها توسعه‌دهندگان را به یک سایت تقلبی هدایت کردند و از این طریق اطلاعات ورود آن‌ها به دست هکرها افتاد. سپس مهاجمان توانستند نسخه‌های آلوده را به کتابخانه‌ها تزریق کنند.

چارلی اریکسن (Charlie Eriksen)، پژوهشگر شرکت Aikido Security، در گفت‌وگو با BleepingComputer این حمله را «بسیار خطرناک» توصیف کرد زیرا:

در چندین لایه عمل می‌کرد: تغییر محتوای نمایش داده‌شده روی وبسایت‌ها، دست‌کاری فراخوانی‌های API و تحریف امضای تراکنش‌ها توسط برنامه‌های کاربران.

میزان خسارت: کمتر از ۵۰ دلار

با وجود گستردگی بی‌سابقه این نفوذ، داده‌های اولیه نشان می‌دهد که تاکنون تنها ۵۰ دلار از طریق این بدافزار به سرقت رفته است. پلتفرم اطلاعاتی Security Alliance اعلام کرد که تنها یک آدرس مخرب اتریوم با شناسه «0xFc4a48» شناسایی شده که وجوه سرقت‌شده به آن منتقل شده‌اند.

این آدرس علاوه بر مقداری اتر (ETH)، چند میم‌کوین شامل Brett، Andy، Dork Lord، Ethervista و Gondola دریافت کرده است. به گفته این پلتفرم، در ساعات اولیه تنها ۵ سنت اتر به سرقت رفته بود که بعداً این رقم به حدود ۵۰ دلار افزایش یافت.

سامکزسان (Samczsun)، پژوهشگر امنیتی شناخته‌شده، در این باره اظهار داشت:

هکر به هیچ عنوان از سطح دسترسی به دست‌آمده استفاده کامل نکرد. این اتفاق مثل این است که کارت ورود به خزانه فورت ناکس را پیدا کنید و از آن به‌عنوان نشانک کتاب استفاده کنید. بدافزار به‌طور گسترده پخش شده بود اما تقریباً کاملاً خنثی شده است.

به گفته 0xngmi، بنیان‌گذار ناشناس پلتفرم DeFiLlama، تنها پروژه‌هایی که پس از انتشار نسخه‌های آلوده بسته‌ها را به‌روزرسانی کرده‌اند در معرض خطر قرار دارند و حتی در این شرایط، کاربر باید تراکنش مخرب را تأیید کند تا سرقت انجام شود. او تأکید کرد که این بدافزار قادر به تخلیه فوری کیف پول‌ها نیست اما ممکن است جزئیات تراکنش هنگام کلیک روی دکمه «Swap» تغییر کرده و دارایی به آدرس هکر منتقل شود.

تاکنون چندین پروژه مهم کریپتو از جمله Ledger، MetaMask، Phantom Wallet و Uniswap اعلام کرده‌اند که از نسخه‌های آلوده استفاده نمی‌کنند و در نتیجه کاربران این پلتفرم‌ها در امان هستند. همچنین سرویس‌هایی مانند Aerodrome، Blast، Blockstream Jade و Revoke.cash نیز خود را ایمن معرفی کرده‌اند.

نتیجه‌گیری

هرچند این حمله می‌توانست خساراتی به مراتب بیشتر به‌دنبال داشته باشد، اما فعلاً با سرقتی کمتر از ۵۰ دلار به پایان رسیده است. با این حال، گستردگی نفوذ نشان داد که آسیب‌پذیری در زنجیره تأمین نرم‌افزار تا چه حد می‌تواند تهدیدی جدی برای کل اکوسیستم باشد. کارشناسان امنیتی توصیه می‌کنند کاربران هنگام تأیید تراکنش‌ها نهایت دقت را داشته باشند و توسعه‌دهندگان نیز تا پاک‌سازی کامل کتابخانه‌ها از به‌روزرسانی نسخه‌های آلوده خودداری کنند.