هشدار به کاربران کریپتو؛ مراقب کیف پول ارزهای دیجیتال خود باشید!
یک حمله هکری گسترده به کتابخانههای محبوب جاوا اسکریپت، زنگ خطر بزرگی را برای تمام کاربران ارز دیجیتال به صدا درآورده است! این حمله که NPM (مخزن اصلی بستههای جاوا اسکریپت) را هدف قرار داده، کتابخانههایی مانند chalk و strip-ansi را که هر هفته میلیاردها بار دانلود میشوند، آلوده کرده و نگرانیهای عمیقی درباره امنیت نرمافزارهای متنباز ایجاد کرده است.
هکرها در این عملیات که از آن بهعنوان «بزرگترین حمله زنجیره تامین در تاریخ» یاد میشود، به کتابخانههای پرکاربرد جاوا اسکریپت نفوذ کردهاند. آنها بدافزاری را در این کتابخانهها کار گذاشتهاند که برای سرقت ارزهای دیجیتال طراحی شده و این کار را با جایگزینکردن نشانی کیف پولها و ربودن تراکنشها انجام میدهد.
بر اساس گزارش کوین تلگراف: هکرها با بهدستآوردن دسترسی بهحساب کاربری یک توسعهدهنده سرشناس در NPM، مخفیانه کدهای مخرب را به کتابخانههای محبوبی اضافه کردهاند که میلیونها برنامه و وبسایت از آنها استفاده میکنند. این کد مخرب میتواند آدرس کیف پول ارز دیجیتال کاربران را در لحظه انجام تراکنش تغییر دهد و سرمایه آنها را به سرقت ببرد.
چارلز گیمه (Charles Guillemet)، مدیر ارشد فناوری در شرکت لجر (Ledger)، در این باره هشدار داد: «یک حمله زنجیره تأمین گسترده در حال وقوع است. حساب NPM یک توسعهدهنده معتبر هک شده و بستههای آلوده تاکنون بیش از یک میلیارد بار دانلود شدهاند. این یعنی کل اکوسیستم جاوا اسکریپت ممکن است در خطر باشد.»
این نفوذ، بستههایی مانند chalk، strip-ansi و color-convert را هدف قرار داده است؛ ابزارهایی کوچک اما بنیادی که جزئی جداییناپذیر از بیشمار پروژه نرمافزاری هستند. مجموع دانلود هفتگی این کتابخانهها به بیش از یک میلیارد بار میرسد و این یعنی حتی توسعهدهندگانی که هرگز به طور مستقیم آنها را نصب نکردهاند نیز ممکن است از طریق پروژههای دیگر در معرض خطر باشند.
NPM برای توسعهدهندگان مانند یک «فروشگاه اپلیکیشن» عمل میکند؛ مخزنی مرکزی که بستههای کوچک کد در آن به اشتراک گذاشته میشود تا ساخت پروژههای بزرگتر را آسان کند.
به نظر میرسد مهاجمان از نوعی بدافزار به نام «کریپتو – کلیپر» (Crypto-Clipper) استفاده کردهاند که به طور پنهانی آدرس کیف پولها را در هنگام کپی و جایگذاری (Copy-Paste) یا در حین تراکنش تغییر میدهد تا پول را به مقصد دیگری هدایت کند.
کارشناسان امنیتی هشدار میدهند که کاربران کیف پولهای نرمافزاری (Software Wallets) بیشترین آسیبپذیری را دارند، درحالیکه کاربران کیف پولهای سختافزاری (Hardware Wallets) به دلیل نیاز به تأیید هر تراکنش روی دستگاه فیزیکی، از امنیت بیشتری برخوردارند.
ایمیلهای فیشینگ؛ راه نفوذ هکرها
مهاجمان با ارسال ایمیلهایی جعلی از طرف پشتیبانی رسمی NPM، به توسعهدهندگان هشدار داده بودند که اگر تا تاریخ ۱۰ سپتامبر، احراز هویت دومرحلهای خود را «بهروزرسانی» نکنند، حسابشان مسدود خواهد شد. این ایمیلها حاوی لینکی به یک وبسایت جعلی بودند که اطلاعات ورود توسعهدهندگان را سرقت کرده و کنترل حسابهایشان را به دست هکرها میداد. پس از آن، مهاجمان بهروزرسانیهای مخرب خود را برای بستههایی با میلیاردها دانلود هفتگی منتشر کردند.
چارلی اریکسن، پژوهشگر امنیتی در شرکت Aikido Security، در این باره گفت: «چندلایه بودن این حمله، آن را بهشدت خطرناک کرده است؛ زیرا هم محتوای ظاهری وبسایتها را تغییر میدهد، هم ارتباطات پسزمینه (API) را دستکاری میکند و هم در نهایت آنچه کاربران فکر میکنند در حال امضای آن هستند را تحریف میکند.»
توصیه مهم: فعلا از تراکنشهای کریپتو خودداری کنید
به گفته Oxngmi، بنیانگذار پلتفرم DefiLlama، کد مخرب به طور خودکار کیف پولها را خالی نمیکند و کاربر همچنان باید تراکنش را تأیید کند؛ اما مشکل اینجاست که بسته هکشده میتواند عملکرد دکمهها را در وبسایتهای آلوده تغییر دهد. برای مثال، ممکن است کاربر روی دکمه «تأیید» یا «تبادل» کلیک کند، اما در پشتصحنه، جزئیات تراکنش دستکاری شده و وجه بهجای مقصد اصلی، به کیف پول هکر ارسال شود.
او اضافه کرد که تنها پروژههایی در معرض خطر هستند که پس از انتشار نسخههای آلوده، کتابخانههای خود را بهروزرسانی کرده باشند. بسیاری از توسعهدهندگان برای جلوگیری از چنین مشکلاتی، نسخههای مورداستفاده خود را «پین» یا ثابت نگه میدارند تا از نسخههای قدیمی و امن استفاده کنند.
بااینحال، ازآنجاییکه کاربران عادی نمیتوانند بهسادگی تشخیص دهند کدام وبسایتها امن هستند، قویاً توصیه میشود تا زمان پاکسازی کامل این بستههای آلوده، از انجام هرگونه تراکنش در وبسایتهای مرتبط با ارز دیجیتال خودداری کنید.
