عملکرد دوگانه: وقتی یک پکیج هم ایمیل می‌فرستد و هم رمز ارز می‌دزدد!

اگر توسعه دهنده نرم‌افزار هستید ممکن است بخواهید در محصول‌تان امکان ارسال و دریافت ایمیل هم داشته باشید. پس از جستجو به پکیجی می‌رسید که امکاناتش عالی است و دقیقا برای هدف شما ساخته شده و ضمنا رایگان هم هست. 

شما هم پکیج را بدون بررسی کافی به نرم‌افزارتان اضافه می‌کنید؛ غافل از اینکه ساخته شده تا رمز ارزهای شما و مشتریان‌تان را به سرقت ببرد!

محققان امنیتی پکیج نرم‌افزاری مخربی را شناسایی کرده‌اند که برای پروژه‌های جاوااسکریپت و Node.js طراحی شده و با سازوکاری بسیار زیرکانه، محبوب‌ترین کیف پول‌های ارز دیجیتال از جمله «اتمیک» و «اکسودوس» را خالی می‌کند! 

این پکیج که nodejs-smtp نام دارد با کپی کردن طراحی ظاهری، توضیحات و حتی طراحی صفحه، خودش را به جای یک کتابخانه پرکاربرد ارسال ایمیل به نام nodemailer جا می‌زند. 

بسته نرم‌افزاری پس از نصب، بخش‌های اصلی کیف پول کاربرها را با کدهای آلوده جایگزین و سپس ردپایش را پاک می‌کند. در نتیجه هر وقت کاربر معامله‌ای با بیت‌کوین، اتریوم، تتر، ریپل یا سولانا انجام دهد، آدرس مقصد به‌طور نامحسوس تغییر می‌کند تا دارایی به کیف پول مهاجم سرازیر شود. 

جالب اینجاست که برخلاف دیگر ابزارهای مخرب که کار نمی‌کنند و سریع لو می‌روند، این پکیج کار ارسال ایمیل را هم به درستی انجام می‌دهد. در نتیجه کاربری که از آن استفاده می‌کند، با هیچ خطایی مواجه نمی‌شود. همین عملکرد دوگانه، پوششی عالی برای فعالیت‌های خرابکارانه آن فراهم کرده است.

این بسته‌ی مخرب بعد از شناسایی از مخزن npm حذف شده اما پیش از آن حداقل ۳۴۷ بار دانلود شده است.

این اولین بار نیست که چنین حمله‌ای رخ می‌دهد. همین چند ماه پیش هم بسته مخرب دیگری به نام pdf-to-office با همین روش کیف پول‌های کاربران را هدف گرفته بود. این خبر بار دیگر به ما یادآوری می‌کند که در دنیای دیجیتال، گاهی بزرگ‌ترین تهدیدها در پوشش آشنا و ابزارهای کاربردی ظاهر می‌شوند.