بزرگترین حمله تاریخ NPM علیه پروژههای کریپتویی با وجود آلودهکردن کتابخانههای پرکاربرد جاوااسکریپت و تهدید بیش از یک میلیارد دانلود، در نهایت تنها به سرقت کمتر از ۵۰ دلار منجر شد.
به گزارش تک ناک؛ هکرها با نفوذ به حساب کاربری یک توسعهدهنده شناختهشده در Node Package Manager (NPM)، بدافزاری را در کتابخانههای پرکاربرد JavaScript تزریق کردند که بهطور خاص کیفپولهای ارزهای دیجیتال را هدف قرار میداد.
این حمله زنجیره تأمین که تاکنون بیش از یک میلیارد بار دانلود را تحت تأثیر قرار داده است، میتوانست خسارتهای هنگفتی به بار آورد، اما بر اساس گزارش پلتفرم امنیتی Security Alliance، مجموع داراییهای به سرقت رفته کمتر از ۵۰ دلار بوده است.
به گفته Security Alliance، هکرها پس از دسترسی به حساب توسعهدهنده توانستند بدافزاری موسوم به crypto-clipper را در پکیجهای محبوب مانند chalk، strip-ansi و color-convert قرار دهند. این بدافزار بهطور پنهانی آدرسهای کیفپول را در زمان انجام تراکنش تغییر داده و وجوه را به آدرس مهاجم منتقل میکند. بررسیها نشان داده است که آدرس Ethereum با شناسه 0xFc4a48 تنها آدرس مخرب شناساییشده تاکنون بوده است.
سامچسان (Samczsun)، پژوهشگر امنیتی ناشناس SEAL، در گفتوگو با Cointelegraph تأکید کرد:
«مهاجم از سطح دسترسی خود بهرهبرداری کامل نکرد. این اقدام شبیه به داشتن کارت دسترسی Fort Knox و استفاده از آن بهعنوان نشانگذار کتاب است. هرچند بدافزار بهطور گسترده منتشر شد، اما تقریباً بهطور کامل خنثی شده است.»
گزارشها نشان میدهد که در ابتدا تنها ۵ سنت از توکن Ether سرقت شده بود، اما این رقم در ادامه به حدود ۵۰ دلار افزایش یافت. در میان داراییهای بهسرقترفته، مقادیر کوچکی از میمکوینهایی مانند Brett، Andy، Dork Lord، Ethervista و Gondola نیز دیده میشود.
کارشناسان هشدار میدهند که حتی پروژههایی که پکیجهای آلوده را مستقیماً نصب نکردهاند، ممکن است در معرض خطر باشند، زیرا این ابزارها بهطور عمیق در زنجیره وابستگی بسیاری از پروژههای JavaScript قرار دارند. به این ترتیب، توسعهدهندگانی که پس از انتشار نسخه آلوده پکیجهای خود را بهروزرسانی کردهاند، بیشتر در معرض خطر هستند.
در پی این حادثه، شرکت Ledger و کیفپول MetaMask اعلام کردند که سیستمهایشان به دلیل وجود لایههای دفاعی متعدد از این حمله مصون ماندهاند. تیم Phantom Wallet نیز تأیید کرد که از نسخههای آسیبپذیر استفاده نکرده است. همچنین پلتفرمهایی مانند Uniswap، Aerodrome، Blast، Blockstream Jade و Revoke.cash اعلام کردند که تحت تأثیر قرار نگرفتهاند.
0xngmi، بنیانگذار ناشناس پلتفرم DefiLlama، در هشدار به کاربران گفت:
«حتی اگر پروژهای به نسخه آلوده بهروزرسانی شده باشد، کاربران تنها در صورتی در معرض خطر هستند که تراکنشهای مخرب را خودشان تأیید کنند. با این حال، بهتر است کاربران کریپتو تا زمان پاکسازی کامل پکیجها توسط توسعهدهندگان، هنگام استفاده از وبسایتهای مرتبط نهایت احتیاط را به خرج دهند.»
این حمله نشان داد که هرچند هکرها به یکی از گستردهترین شبکههای توسعهدهنده دسترسی پیدا کردند، اما ناکامی در بهرهبرداری از این فرصت، خسارت مالی بهشدت ناچیزی برای کاربران به همراه داشت.
