هکرها با نفوذ به حساب Node Package Manager (NPM) یک توسعهدهنده شناختهشده و تزریق بدافزار به کتابخانههای پرکاربرد جاوااسکریپت، بهدنبال هدف قراردادن کیفپولهای اتریوم و سولانا بودند. اما به گفته محققان امنیتی، نتیجه این حمله عظیم کمتر از ۵۰ دلار سرقت بود.
فهرست مطالب
جزئیات حمله
پلتفرم Security Alliance اعلام کرد این بدافزار در کتابخانههایی مانند chalk، strip-ansi و color-convert کاشته شده بود؛ بستههایی کوچک که بهطور عمیق در ساختار پروژههای بیشمار جاوااسکریپت حضور دارند. همین موضوع باعث شد میلیونها توسعهدهنده در معرض خطر بالقوه قرار بگیرند، حتی اگر این بستهها را مستقیماً نصب نکرده باشند.
با وجود این، بررسیها نشان داد آدرس مخرب 0xFc4a48 تنها توانسته مقادیر بسیار اندکی از داراییها را منتقل کند:
- چند سنت اتر (ETH)
- حدود ۲۰ دلار از یک میمکوین
- و مقادیر جزئی از توکنهایی مانند Brett، Andy، Dork Lord، Vista و Gondola
Samczsun، محقق امنیتی SEAL، این حمله را چنین توصیف کرد:
«مثل این است که کلید ورود به فورت ناکس را پیدا کنی و از آن بهعنوان نشانهگذار کتاب استفاده کنی.»
نوع بدافزار؛ کریپتو-کلیپر
کدهای مخرب شامل Crypto Clipper بودند؛ بدافزاری که در هنگام تراکنش، آدرس کیفپول مقصد را به آدرس هکر جایگزین میکند تا داراییها را منحرف کند. با این حال، حمله تقریباً بیاثر ماند و تاکنون بیشتر پاکسازی شده است.
چه کسانی تحت تأثیر قرار نگرفتند؟
- Ledger و MetaMask اعلام کردند که لایههای دفاعی چندگانه از کاربرانشان در برابر این حمله محافظت کرده است.
- Phantom Wallet، Uniswap، Aerodrome، Blast، Blockstream Jade و Revoke.cash نیز تأیید کردند که از نسخههای آسیبپذیر استفاده نمیکنند.
هشدار به توسعهدهندگان و کاربران
- فقط پروژههایی که پس از انتشار بستههای آلوده بهروزرسانی کردهاند ممکن است در معرض خطر باشند.
- حتی در این حالت هم، کاربر باید تراکنش مخرب را تأیید کند تا دارایی منتقل شود.
- کارشناسان توصیه کردهاند کاربران تا پاکسازی کامل بستهها، در تأیید تراکنشهای رویزنجیره دقت بیشتری داشته باشند.
جمعبندی
این حمله که میتوانست میلیونها دلار خسارت وارد کند، تنها ۵۰ دلار ضرر به جا گذاشت. هرچند آسیب مالی ناچیز بوده، اما اهمیت موضوع در نشان دادن آسیبپذیری زنجیره تأمین نرمافزار (Supply Chain Attacks) است؛ ضعفی که میتواند کل صنعت کریپتو را هدف قرار دهد.
