بزرگ‌ترین حمله NPM تاریخ کریپتو ناکام ماند

بزرگ‌ترین حمله تاریخ NPM علیه پروژه‌های کریپتویی با وجود آلوده‌کردن کتابخانه‌های پرکاربرد جاوااسکریپت و تهدید بیش از یک میلیارد دانلود، در نهایت تنها به سرقت کمتر از ۵۰ دلار منجر شد.

به گزارش تک ناک؛ هکرها با نفوذ به حساب کاربری یک توسعه‌دهنده شناخته‌شده در Node Package Manager (NPM)، بدافزاری را در کتابخانه‌های پرکاربرد JavaScript تزریق کردند که به‌طور خاص کیف‌پول‌های ارزهای دیجیتال را هدف قرار می‌داد.

این حمله زنجیره تأمین که تاکنون بیش از یک میلیارد بار دانلود را تحت تأثیر قرار داده است، می‌توانست خسارت‌های هنگفتی به بار آورد، اما بر اساس گزارش پلتفرم امنیتی Security Alliance، مجموع دارایی‌های به سرقت رفته کمتر از ۵۰ دلار بوده است.

به گفته Security Alliance، هکرها پس از دسترسی به حساب توسعه‌دهنده توانستند بدافزاری موسوم به crypto-clipper را در پکیج‌های محبوب مانند chalk، strip-ansi و color-convert قرار دهند. این بدافزار به‌طور پنهانی آدرس‌های کیف‌پول را در زمان انجام تراکنش تغییر داده و وجوه را به آدرس مهاجم منتقل می‌کند. بررسی‌ها نشان داده است که آدرس Ethereum با شناسه 0xFc4a48 تنها آدرس مخرب شناسایی‌شده تاکنون بوده است.

سامچ‌سان (Samczsun)، پژوهشگر امنیتی ناشناس SEAL، در گفت‌وگو با Cointelegraph تأکید کرد:
«مهاجم از سطح دسترسی خود بهره‌برداری کامل نکرد. این اقدام شبیه به داشتن کارت دسترسی Fort Knox و استفاده از آن به‌عنوان نشان‌گذار کتاب است. هرچند بدافزار به‌طور گسترده منتشر شد، اما تقریباً به‌طور کامل خنثی شده است.»

گزارش‌ها نشان می‌دهد که در ابتدا تنها ۵ سنت از توکن Ether سرقت شده بود، اما این رقم در ادامه به حدود ۵۰ دلار افزایش یافت. در میان دارایی‌های به‌سرقت‌رفته، مقادیر کوچکی از میم‌کوین‌هایی مانند Brett، Andy، Dork Lord، Ethervista و Gondola نیز دیده می‌شود.

کارشناسان هشدار می‌دهند که حتی پروژه‌هایی که پکیج‌های آلوده را مستقیماً نصب نکرده‌اند، ممکن است در معرض خطر باشند، زیرا این ابزارها به‌طور عمیق در زنجیره وابستگی بسیاری از پروژه‌های JavaScript قرار دارند. به این ترتیب، توسعه‌دهندگانی که پس از انتشار نسخه آلوده پکیج‌های خود را به‌روزرسانی کرده‌اند، بیشتر در معرض خطر هستند.

در پی این حادثه، شرکت Ledger و کیف‌پول MetaMask اعلام کردند که سیستم‌هایشان به دلیل وجود لایه‌های دفاعی متعدد از این حمله مصون مانده‌اند. تیم Phantom Wallet نیز تأیید کرد که از نسخه‌های آسیب‌پذیر استفاده نکرده است. همچنین پلتفرم‌هایی مانند Uniswap، Aerodrome، Blast، Blockstream Jade و Revoke.cash اعلام کردند که تحت تأثیر قرار نگرفته‌اند.

0xngmi، بنیان‌گذار ناشناس پلتفرم DefiLlama، در هشدار به کاربران گفت:
«حتی اگر پروژه‌ای به نسخه آلوده به‌روزرسانی شده باشد، کاربران تنها در صورتی در معرض خطر هستند که تراکنش‌های مخرب را خودشان تأیید کنند. با این حال، بهتر است کاربران کریپتو تا زمان پاک‌سازی کامل پکیج‌ها توسط توسعه‌دهندگان، هنگام استفاده از وب‌سایت‌های مرتبط نهایت احتیاط را به خرج دهند.»

این حمله نشان داد که هرچند هکرها به یکی از گسترده‌ترین شبکه‌های توسعه‌دهنده دسترسی پیدا کردند، اما ناکامی در بهره‌برداری از این فرصت، خسارت مالی به‌شدت ناچیزی برای کاربران به همراه داشت.