هکرها موفق شدند به حساب NPM یکی از توسعه‌دهندگان مشهور دسترسی پیدا کنند و بدافزاری را به کتابخانه‌های پرکاربرد جاوا اسکریپت اضافه کنند که کیف‌پول‌های کریپتو را هدف گرفته بود.

خلاصه خبر

• در بزرگ‌ترین هک تاریخ NPM، هکرها تنها موفق به سرقت ۵۰ دلار شدند.
• خطر هنوز کامل رفع نشده و کاربران باید تا زمانی که بسته‌ها به طور کامل پاکسازی نشدند، محتاط باشند.

به گزارش کوین تلگراف، هکرها با یک هک بزرگ زنجیره تامین که کتابخانه‌های جاوا اسکریپت را هدف قرار داده بود، تنها موفق به سرقت ۵۰ دلار شدند.

پلتفرم اطلاعاتی Security Alliance روز دوشنبه اعلام کرد که هکرها به حساب NPM یک توسعه‌دهنده شناخته‌شده نفوذ کرده و بدافزاری را به کتابخانه‌های محبوب جاو ااسکریپت اضافه کرده‌اند؛ کتابخانه‌هایی که بیش از یک میلیارد بار دانلود شده‌اند و می‌توانند پروژه‌های بی‌شماری در حوزه رمزارز را در معرض خطر قرار دهند. به گفته این پلتفرم، کیف‌ پول‌های اتریوم و سولانا هدف اصلی این حمله بوده‌اند.

به گفته این شرکت امنیتی، خوشبختانه تاکنون کمتر از ۵۰ دلار از فضای کریپتو سرقت شده است و تنها آدرس مخرب شناسایی‌شده، کیف‌پول اتریوم با شناسه 0xFc4a48 بوده است. این شرکت در پستی در ایکس نوشت:

تصور کنید شما حساب یک توسعه‌دهنده NPM را هک کرده‌اید که بسته‌هایش بیش از ۲ میلیارد بار در هفته دانلود می‌شوند. شما به میلیون‌ها ورک‌استیشن آن توسعه‌دهنده دسترسی نامحدود دارید. ثروت بی‌پایان مقابل شماست. دنیا در اختیار شماست. اما در نهایت کمتر از ۵۰ دلار سود می‌کنید.

پژوهشگر امنیتی با نام مستعار Samczsun از تیم SEAL در گفت‌وگو با کوین‌ تلگراف توضیح داد:

هکر نتوانست از سطح دسترسی گسترده‌ای که در اختیار داشت به‌طور کامل استفاده کند. این وضعیت مانند پیدا کردن کارت ورود به خزانه طلای «فورت ناکس» و استفاده از آن به‌عنوان بوک‌مارک تشبیه کرد. بدافزار گسترده بود اما در حال حاضر تقریباً به طور کامل خنثی شده است.

با این حال، رقم سرقت‌شده که اکنون حدود ۵۰ دلار است، تنها چند ساعت قبل ۵ سنت بود و این نشان می‌دهد که احتمال گسترش خسارت هنوز وجود دارد.

بر اساس گزارش Security Alliance، آن ۵ سنت در قالب اتر سرقت شده و حدود ۲۰ دلار دیگر هم از یک میم‌ کوین به سرقت رفته است.

داده‌های Etherscan نشان می‌دهد که آدرس مخرب تاکنون توکن‌های Brett، Andy، Dork Lord، Ethervista و Gondola را نیز دریافت کرده است.

این حمله بسته‌هایی مثل chalk، strip-ansi و color-convert را هدف گرفته که ابزارهای کوچک اما پرکاربردی هستند و در عمق وابستگی‌های بسیاری از پروژه‌ها قرار دارند. به همین دلیل حتی توسعه‌دهندگانی که این بسته‌ها را مستقیماً نصب نکرده‌اند نیز ممکن است در معرض خطر باشند.

NPM مانند یک فروشگاه اپلیکیشن برای توسعه‌دهندگان است؛ جایی که آن‌ها بسته‌های کد کوچک را به اشتراک می‌گذارند و برای ساخت پروژه‌های جاوااسکریپتی دانلود می‌کنند.

مهاجمان هم با کاشتن یک crypto-clipper، نوعی بدافزار که به‌طور مخفیانه آدرس کیف‌ پول‌ها را هنگام تراکنش تغییر می‌دهد، تلاش کردند وجوه را به حساب خود منتقل کنند.

شارل گیلمه، مدیر ارشد فناوری شرکت لجر، از کاربران رمزارز خواست هنگام تأیید تراکنش‌های درون‌زنجیره‌ای بسیار محتاط باشند.

در همین حال، کیف‌پول‌های لجر و متامسک اعلام کردند که پلتفرم‌هایشان تحت تأثیر این حمله قرار نگرفته و چندین لایه دفاعی از آن‌ها محافظت می‌کند.

تیم فانتوم ولت هم گفت از نسخه‌های آسیب‌پذیر بسته‌ها استفاده نمی‌کند و یونی‌سواپ تأکید کرد که هیچ‌یک از اپلیکیشن‌هایش در معرض خطر نیستند.

پروژه‌های دیگری مثل Aerodrome، Blast، Blockstream Jade و Revoke.cash نیز اعلام کردند که از این حمله زنجیره تأمین آسیب ندیده‌اند.

با این حال، 0xngmi، بنیان‌گذار ناشناس پلتفرم دیفای‌لاما، توضیح داد تنها پروژه‌هایی که پس از انتشار بسته‌های آلوده به‌روزرسانی شده‌اند در معرض خطر هستند و حتی در آن شرایط هم کاربران باید تراکنش مخرب را تأیید کنند تا سرقت انجام شود.

او در پایان مانند گیلمه توصیه کرد کاربران تا زمانی که توسعه‌دهندگان این بسته‌ها را به‌طور کامل پاک‌سازی نکرده‌اند، در استفاده از وبسایت‌ها و اپلیکیشن‌های کریپتویی محتاط باشند.