کیف‌پول‌ها در معرض خطر سرقت قرار گرفتند_اصفهانیا

مهاجمان بعد از هک‌کردن اکانت یک گسترش‌دهنده از طریق فیشینگ، موفق شدند کدهای مخرب را به پکیج‌های محبوبی در رجیستری NPM تزریق کنند که در کل بیشتر از ۲.۶ میلیارد بار در هفته دانلود خواهد شد. این بدافزار که به‌طور خاص برای سرقت ارزهای دیجیتال طراحی شده، به طور مخفیانه در مرورگر کاربران عمل می‌کند و تراکنش کیف‌پول‌ها را به سرقت می‌برد.

این حادثه به علت مقیاس گسترده و مقصد قراردادن مستقیم کاربران کریپتو، عکس العمل‌های سریع از سوی کارشناسان امنیتی به همراه داشته است؛ این چنین این دعوا صدمه‌پذیری کل اکوسیستم جاوا اسکریپت را مشخص می کند و زنگ خطر را برای میلیون‌ها گسترش‌دهنده و کاربر در سراسر جهان به صدا درآورده است.

دعوا هکرها به کیف‌پول‌های کاربران کریپتو

به نقل از Bleepingcomputer، این دعوا با یک کمپین فیشینگ موثر علیه گسترش‌دهندگان و نگهدارندگان پکیج‌های NPM اغاز شد. «جاش جونون» (Josh Junon)، نگهدارنده پکیج‌های هک‌شده، قبول کرد که قربانی یک ایمیل فیشینگ شده که از یک دامنه جعلی (npmjs.help) ارسال شده می بود. در این ایمیل، مهاجمان با منفعت گیری از تاکتیک‌های ارعاب، به گسترش‌دهندگان هشدار می‌دادند که اکانت آن‌ها به علت به‌روز نبودن احراز هویت دومرحله‌ای (2FA) مسدود خواهد شد. بعد از دسترسی به حساب جونون مهاجمان نسخه‌های تازه و آلوده‌ای از پکیج‌های تحت مدیریت او را انتشار کردند.

بر پایه تحلیل شرکت امنیتی Aikido، کد مخرب تزریق‌شده به فایل‌های index.js این پکیج‌ها، به گفتن یک رهگیر مبتنی‌بر مرورگر عمل می‌کند. این بدافزار به‌طور خاص فعالیت‌های مرتبط با ارزهای دیجیتال و وب ۳ را زیر نظر می‌گیرد. هنگامی که یک کاربر از طریق وب‌سایتی که از این پکیج‌های آلوده منفعت گیری می‌کند، تصمیم انجام یک تراکنش رمزارزی را داشته باشد، بدافزار به طور کاملاً مخفیانه و قبل از این که کاربر تراکنش را امضا کند، آدرس کیف پول مقصد را با آدرس کیف پول تحت کنترل مهاجم جانشین می‌کند. این فرایند به قدری هوشمندانه طراحی شده که هیچ نشانه آشکاری برای کاربر وجود ندارد و وجوه به جای مقصد مهم مستقیماً به حساب مهاجمان واریز می‌شود.

این دعوا به شدت عکس العمل چهره‌های برجسته امنیتی در حوزه کریپتو را برانگیخت. «شارل گیومه» (Charles Guillemet)، مدیر ارشد فناوری شرکت لجر، هشدار داد که با این هک، به گمان زیادً «کل اکوسیستم جاوا اسکریپت در معرض خطر قرار گرفته است».

در پی این هشدارها، پیشنهاد‌های امنیتی سریع برای کاربران ارزهای دیجیتال صادر شده است؛ کارشناسان به کاربران کیف‌پول‌های نرم‌افزاری پیشنهاد می‌کنند که تا خبر ثانوی از انجام هرگونه تراکنش آن‌چین (on-chain) خودداری کنند. اکنون اشکار نیست که آیا مهاجم قادر به سرقت عبارت بازیابی (seed phrase) نیز هست یا خیر. کاربران کیف پول‌های سخت‌افزاری در امنیت بیشتری قرار دارند، اما به آن‌ها نیز پیشنهاد می‌شود که با نهایت دقت، جزئیات هر تراکنش را قبل از امضای نهایی بر روی دستگاه خود بازدید کنند.

خطر مهم این دعوا به محبوبیت بسیار پکیج‌های آلوده برمی‌گردد. برخی از با اهمیت ترین این پکیج‌ها عبارت هستند از:

• ansi-styles (با ۳۷۱ میلیون دانلود هفتگی)
• debug (با ۳۵۷ میلیون دانلود هفتگی)
• chalk (با ۳۰۰ میلیون دانلود هفتگی)
• supports-color (با ۲۸۷ میلیون دانلود هفتگی)
• strip-ansi (با ۲۶۱ میلیون دانلود هفتگی)
• ansi-regex (با ۲۴۳ میلیون دانلود هفتگی)

با وجود مقیاس عظیم این دعوا، کارشناسان امنیتی اشاره می‌کنند که تأثیر آن به علت شرایط خاصی که برای آلودگی ملزوم است، تا حدودی محدود شده است. یک برنامه یا وب‌سایت تنها در صورتی تحت تأثیر قرار گرفته که نصب جدیدی از این پکیج‌ها را دقیقاً در بازه وقتی مختصر چند ساعته‌ای که نسخه‌های مخرب در دسترس بودند، انجام داده باشد. تیم امنیتی NPM نیز به شدت عمل به حذف نسخه‌های آلوده کرده است.