همین حالا دنبال کن:

خبر و تحلیل ارزهای دیجیتال

زلزله در دنیای جاوااسکریپت: آیا کیف‌پول‌های ارز دیجیتال در خطر سرقت هستند؟

وقتی اشتباه یک شخص، میلیون‌ها نفر را در معرض خطر قرار می‌دهد
یونس مرادی
زمان مطالعه ۴ دقیقه

فهرست:

تصویر بالا به نظر یک ایمیل مهم امنیتی می‌آید که از گیرنده می‌خواهد جهت اطمینان، فرایند احراز هویت دومرحله‌ای‌اش را به‌روز کند.

اما این ایمیل در عمل یک حمله‌ی فیشینگ بوده که بسیار هنرمندانه تنظیم شده و به همین خاطر توانسته یک توسعه‌ دهنده‌ی باتجربه را فریب دهد و البته نتیجه‌اش فقط برای آن شخص خاص نبوده و میلیون‌ها نفر در معرض خطر قرار گرفته‌اند.

هکرها وارد حساب این برنامه‌نویس معروف شده و تعدادی از بسته‌های npm جاوا اسکریپت را آلوده کردند که در هفته بیش از ۲.۶ میلیارد بار دانلود می‌شوند.

برای درک اهمیت این خبر باید بدانید npm انباری عظیم از قطعات آماده برای برنامه‌نویسان جاوااسکریپت است. این پکیج‌ها بخشی از پایه و اساس اکوسیستم جاوااسکریپت بوده و روزانه صدها میلیون بار دانلود می‌شوند. حالا تعدادی از این آجرها ترک برداشته‌اند و کل اکوسیستم به لرزه افتاده است.

حمله چگونه آغاز شد؟

این هک که شرکت امنیتی Aikido آن را بزرگترین حمله به زنجیره تامین npm تا امروز نامیده، از یک ترفند ساده اما هوشمندانه فیشینگ شروع شد.

مرحله اول: طعمه‌ای برای شکار

هکرها با طراحی یک ایمیل فیشینگ بسیار متقاعدکننده توسعه‌دهندگان پکیج‌های npm از جمله «جاش جانن» (Josh Junon) را هدف گرفتند. آنها خود را پشتیبانی فنی npm جا زدند و به توسعه‌دهنده‌ها هشدار دادند اگر احراز هویت دو عاملی را تا تاریخ مشخصی به‌روز نکند، حسابشان قفل خواهد شد. این ایمیل قربانی را به سایتی جعلی با آدرسی فریبنده (npmjs.help) هدایت می‌کرد.

مرحله دوم: سرقت کلید اصلی

جاش جانن با دیدن این هشدار به ظاهر مهم، اطلاعات کاربری خود را در سایت جعلی وارد کرد و هکرها به همین سادگی کلید اصلی ورود به حساب او را به دست آوردند!

مدیر ارشد امنیت اطلاعات در شرکت SOCRadar درباره اهمیت ماجرا می‌گوید: «این نقطه عطفی در تاریخ زنجیره تامین نرم‌افزاری است. مهاجمان دیگر نیاز به رخنه در سرورها یا دور زدن سیستم‌های دفاعی نداشتند. با ربودن حساب توسعه‌دهنده، کلید یک پادشاهی نرم‌افزاری عظیم به آن‌ها داده شد.»

مرحله سوم: تزریق سم

مهاجمان بلافاصله پس از به دست گرفتن کنترل، کدهای مخرب خود را به فایل‌های اصلی ۱۸ بسته محبوب اضافه کردند. کار کد مخرب این است که در پس‌زمینه منتظر بماند و هر زمان که کاربری قصد انجام یک تراکنش ارز دیجیتال را داشت، آدرس کیف پول مقصد را در یک چشم به هم زدن با آدرس کیف پول هکرها جایگزین کند. قربانی با اطمینان تراکنش را تأیید می‌کند، اما پول هرگز به مقصد اصلی نرسیده و یکراست به جیب هکرها می‌رود.

مرحله چهارم: انتشار خاموش

این بسته‌ها پایه و اساس هزاران برنامه و وب‌سایت دیگر هستند در نتیجه به سرعت در رگ‌های اینترنت پخش شد. هر توسعه‌دهنده‌ای که بسته‌ها را به‌روزرسانی می‌کرد، ناخواسته این کد مخرب را در محصول خود جای‌گذاری کرده و به دست کاربران نرم‌افزارش می‌رساند.

پیامدهای حمله

با توجه به اینکه بسته‌هایی مانند chalk و debug صدها میلیون بار در هفته دانلود می‌شوند، این حمله پتانسیل یک فاجعه تمام‌عیار را داشت.

با این وجود به لطف اشتباه هکرها پایپ‌لاین‌های CI/CD دچار مشکل شده و حمله به سرعت توسط شرکت امنیتی Aikido شناسایی شد. پس از اطلاع‌رسانی این شرکت بسته‌های آلوده ظرف چند ساعت حذف شدند.

«چارلز گیومه»، مدیر فناوری کیف‌پول سخت‌افزاری Ledger می‌گوید که این دست حملات نشان می‌دهد حتی اگر خود بلاک‌چین امن باشد، لایه‌های نرم‌افزاری اطرافش می‌تواند پاشنه آشیل کل سیستم شوند.

چه کسانی بیشتر در معرض خطر حمله هستند؟

کاربران کیف‌پول‌های نرم‌افزاری سولانا و اتریوم بیشتر در معرض خطرند و بهتر است فعلا تراکنش روی شبکه نداشته باشند. ظاهرا والت‌های Phantom، Coinbase یا Exodus تحت تاثیر قرار نگرفته‌اند، چون از نسخه‌های قدیمی‌تر استفاده می‌کنند.

برنامه‌ها و وب‌سایت‌هایی که در بازه زمانی حادثه، به نسخه‌های آلوده به‌روزرسانی شده‌اند قربانی‌های دیگر هستند. توسعه‌دهندگانی که از نسخه‌های قدیمی‌تر بهره می‌برند، احتمالاً از تیررس هکرها دور مانده‌اند.

ربات‌ها و اتوماسیون‌های بک‌اند نیز در معرض خطر هستند. به‌ویژه اسکریپت‌هایی که کلیدهای خصوصی را روی سرور نگه می‌دارند و در بازه زمانی هک به‌روز شده باشند.

اگر کاربر عادی هستید، چه کنید؟

تا روشن شدن وضعیت نهایی بسته‌های آسیب‌دیده، از انجام تراکنش‌های حساس از طریق مرورگرها و برنامه‌های ناشناخته خودداری کنید.

در صورت امکان از کیف‌پول‌های سخت‌افزاری استفاده کنید و مرورگر و افزونه‌های مرتبط را به آخرین نسخه به‌روزرسانی کنید.

به ایمیل‌های «فوری» با مضمون امنیت حساب حساس باشید؛ به‌ویژه اگر شما را به صفحه‌ای برای وارد کردن اطلاعات ورود هدایت می‌کنند. همیشه در این موارد نشانی دامنه را با دقت بررسی کنید.

در آخر

این حمله نشان می‌دهد که شرکت‌های فناوری نه فقط دروازه‌های ورود، بلکه باید به سلامت آجرهای زیربنایی نیز توجه داشته باشند؛ چون بزرگترین حملات گاهی نه با انفجاری بزرگ، بلکه با تزریق قطره‌ای سم در سرچشمه آغاز می‌شوند.

    نظر بدهید

    نشانی ایمیل شما منتشر نخواهد شد.

    پست‌های مرتبط

    نوشدارو را دنبال کنید

    واتساپ

    اینستاگرام

    تلگرام

    مطالب پرنگاه

    نوشدارو NooshDaroo
    نوشدارو NooshDaroo
    نوشدارو NooshDaroo
    نوشدارو NooshDaroo
    نوشدارو NooshDaroo

    ویدیوهای نوشدارو

    ویدیو های بیشتر

    حکایت‌های کوتاه، حقیقت‌های بزرگ

    در این بخش، به بررسی دقیق و جامع نشانه‌ها و رفتارهایی می‌پردازیم که ممکن است به کلاهبرداری آنلاین مرتبط باشند. شناخت این موارد می‌تواند به شما کمک کند.

    ویدیو های بیشتر
    ویدیو های بیشتر
    بازگشت به بالای صفحه
    ×

    منابع