کیف‌پول‌ها با تهدید سرقت مواجه شدند

پس از نفوذ به حساب یک توسعه‌دهنده از طریق حمله فیشینگ، هکرها موفق به تزریق کدهای مخرب به بسته‌های پرکاربرد در رجیستری NPM شدند که به طور میانگین هفتگی بیش از ۲.۶ میلیارد بار دانلود می‌شوند. این نرم‌افزار مخرب، به‌طور خاص جهت سرقت ارزهای دیجیتال طراحی شده و در پس‌زمینه مرورگر کاربران به فعالیت‌های دزدی از تراکنش‌های کیف‌پول‌ها می‌پردازد.

این واقعه، به دلیل ابعاد وسیع و هدف‌گیری مستقیم کاربران دنیای کریپتو، پاسخگویی فوری را از سوی متخصصان امنیتی به همراه داشته و نشانه‌ای از آسیب‌پذیری کل اکوسیستم جاوا اسکریپت به شمار می‌آید و زنگ هشداری برای میلیون‌ها توسعه‌دهنده و کاربران در سراسر جهان به صدا درآورده است.

حمله هکرها به کیف‌پول‌های کاربران کریپتو

<pطبق گزارشی از Bleepingcomputer، این حمله با یک کمپین فیشینگ متمرکز بر توسعه‌دهندگان و نگهدارندگان بسته‌های NPM صورت گرفته است. «جاش جونون» (Josh Junon)، نگهدارنده پکیج‌های آسیب‌دیده، تأیید کرده است که قربانی یک ایمیل فیشینگ بوده که از دامنه‌ای جعلی به نام npmjs.help ارسال شده بود. مهاجمان، با استفاده از روش‌های تهدیدآمیز، به توسعه‌دهندگان اخطار داده بودند که حساب آن‌ها به دلیل نقص در تأیید هویت دو مرحله‌ای (2FA) ممکن است مسدود شود. پس از به دست آوردن دسترسی به حساب جونون، آنها نسخه‌های جدید و آلوده‌ای از بسته‌های تحت مدیریت او را منتشر کردند.

بر اساس تحلیل‌های شرکت امنیتی Aikido، کد مخرب وارد شده به فایل‌های index.js این بسته‌ها، به عنوان یک رهگیر مبتنی بر مرورگر عمل اجرایی می‌کند. این بدافزار به‌طور ویژه فعالیت‌های مرتبط با ارزهای دیجیتال و وب ۳ را زیر نظر دارد. زمانی که کاربری قصد انجام یک تراکنش رمزارزی از طریق یک وب‌سایت که از این بسته‌های آلوده استفاده می‌کند، دارد، این بدافزار به طور پنهانی و پیش از امضای تراکنش توسط کاربر، آدرس کیف پول مقصد را با آدرس کیف پول تحت کنترل مهاجم عوض می‌کند. این روند به‌گونه‌ای طراحی شده که هیچ علامتی برای کاربر باقی نمی‌گذارد و وجوه به‌جای آنکه به مقصد اصلی برود، مستقیماً به حساب مهاجمان واریز می‌شود.

این حمله به سرعت توجه شخصیت‌های مهم در حوزه امنیت کریپتو را برانگیخت. «شارل گیومه» (Charles Guillemet)، مدیر ارشد فناوری شرکت لجر، هشدار داده که امکان دارد «کل اکوسیستم جاوا اسکریپت در معرض خطر جدی قرار گیرد».

در پی این هشدارها، توصیه‌های فوری امنیتی برای کاربران ارزهای دیجیتال صادر شده است؛ متخصصان به کاربران کیف‌پول‌های نرم‌افزاری پیشنهاد می‌کنند که فعلاً از انجام هرگونه تراکنش آن‌چین (on-chain) پرهیز کنند. در حال حاضر هنوز مشخص نیست که آیا مهاجمان توانسته‌اند به عبارت بازیابی (seed phrase) نیز دسترسی پیدا کنند یا خیر. کاربران کیف پول‌های سخت‌افزاری در وضعیت ایمن‌تری قرار دارند، اما آنها نیز باید با احتیاط و توجه کامل، جزییات هر تراکنش را پیش از امضای نهایی بر روی دستگاه خود بررسی کنند.

خطر اصلی این حمله به فراوانی غیرقابل تصور بسته‌های آلوده برمی‌گردد. برخی از برجسته‌ترین این بسته‌ها شامل موارد زیر است:

• ansi-styles (با ۳۷۱ میلیون دانلود هفتگی)
• debug (با ۳۵۷ میلیون دانلود هفتگی)
• chalk (با ۳۰۰ میلیون دانلود هفتگی)
• supports-color (با ۲۸۷ میلیون دانلود هفتگی)
• strip-ansi (با ۲۶۱ میلیون دانلود هفتگی)
• ansi-regex (با ۲۴۳ میلیون دانلود هفتگی)

علیرغم وسعت چشمگیر این حمله، کارشناسان امنیتی متذکر می‌شوند که تأثیر آن به دلیل شرایط خاصی که برای آلودگی مورد نیاز است، تا حدی محدود شده است. یک برنامه یا وب‌سایت فقط در صورتی تحت تأثیر قرار می‌گیرد که نصب جدیدی از این بسته‌ها در بازه زمانی کوتاهی که نسخه‌های مخرب در دسترس بودند، انجام شده باشد. تیم امنیتی NPM نیز به سرعت نسبت به حذف نسخه‌های آلوده اقدام کرده است.