مهاجمان پس از هک‌کردن اکانت یک توسعه‌دهنده از طریق فیشینگ، موفق شدند کدهای مخرب را به پکیج‌های محبوبی در رجیستری NPM تزریق کنند که در مجموع بیش از ۲.۶ میلیارد بار در هفته دانلود می‌شوند. این بدافزار که به‌طور خاص برای سرقت ارزهای دیجیتال طراحی شده، به صورت مخفیانه در مرورگر کاربران عمل می‌کند و تراکنش کیف‌پول‌ها را به سرقت می‌برد.

این حادثه به دلیل مقیاس گسترده و هدف قراردادن مستقیم کاربران کریپتو، واکنش‌های فوری از سوی کارشناسان امنیتی به همراه داشته است؛ همچنین این حمله آسیب‌پذیری کل اکوسیستم جاوا اسکریپت را نشان می‌دهد و زنگ خطر را برای میلیون‌ها توسعه‌دهنده و کاربر در سراسر جهان به صدا درآورده است.

حمله هکرها به کیف‌پول‌های کاربران کریپتو

به گزارش Bleepingcomputer، این حمله با یک کمپین فیشینگ هدفمند علیه توسعه‌دهندگان و نگهدارندگان پکیج‌های NPM آغاز شد. «جاش جونون» (Josh Junon)، نگهدارنده پکیج‌های هک‌شده، تأیید کرد که قربانی یک ایمیل فیشینگ شده که از یک دامنه جعلی (npmjs.help) ارسال شده بود. در این ایمیل، مهاجمان با استفاده از تاکتیک‌های ارعاب، به توسعه‌دهندگان هشدار می‌دادند که اکانت آن‌ها به دلیل به‌روز نبودن احراز هویت دومرحله‌ای (2FA) مسدود خواهد شد. پس از دسترسی به حساب جونون مهاجمان نسخه‌های جدید و آلوده‌ای از پکیج‌های تحت مدیریت او را منتشر کردند.

براساس تحلیل شرکت امنیتی Aikido، کد مخرب تزریق‌شده به فایل‌های index.js این پکیج‌ها، به عنوان یک رهگیر مبتنی‌بر مرورگر عمل می‌کند. این بدافزار به‌طور خاص فعالیت‌های مرتبط با ارزهای دیجیتال و وب ۳ را زیر نظر می‌گیرد. هنگامی که یک کاربر از طریق وب‌سایتی که از این پکیج‌های آلوده استفاده می‌کند، قصد انجام یک تراکنش رمزارزی را داشته باشد، بدافزار به صورت کاملاً مخفیانه و قبل از اینکه کاربر تراکنش را امضا کند، آدرس کیف پول مقصد را با آدرس کیف پول تحت کنترل مهاجم جایگزین می‌کند. این فرایند به قدری هوشمندانه طراحی شده که هیچ نشانه آشکاری برای کاربر وجود ندارد و وجوه به جای مقصد اصلی مستقیماً به حساب مهاجمان واریز می‌شود.

این حمله به سرعت واکنش چهره‌های برجسته امنیتی در حوزه کریپتو را برانگیخت. «شارل گیومه» (Charles Guillemet)، مدیر ارشد فناوری شرکت لجر، هشدار داد که با این هک، احتمالاً «کل اکوسیستم جاوا اسکریپت در معرض خطر قرار گرفته است».

در پی این هشدارها، توصیه‌های امنیتی فوری برای کاربران ارزهای دیجیتال صادر شده است؛ کارشناسان به کاربران کیف‌پول‌های نرم‌افزاری توصیه می‌کنند که تا اطلاع ثانوی از انجام هرگونه تراکنش آن‌چین (on-chain) خودداری کنند. درحال‌حاضر مشخص نیست که آیا مهاجم قادر به سرقت عبارت بازیابی (seed phrase) نیز هست یا خیر. کاربران کیف پول‌های سخت‌افزاری در امنیت بیشتری قرار دارند، اما به آن‌ها نیز توصیه می‌شود که با نهایت دقت، جزئیات هر تراکنش را قبل از امضای نهایی بر روی دستگاه خود بررسی کنند.

خطر اصلی این حمله به محبوبیت فوق‌العاده پکیج‌های آلوده برمی‌گردد. برخی از مهم‌ترین این پکیج‌ها عبارتند از:

• ansi-styles (با ۳۷۱ میلیون دانلود هفتگی)
• debug (با ۳۵۷ میلیون دانلود هفتگی)
• chalk (با ۳۰۰ میلیون دانلود هفتگی)
• supports-color (با ۲۸۷ میلیون دانلود هفتگی)
• strip-ansi (با ۲۶۱ میلیون دانلود هفتگی)
• ansi-regex (با ۲۴۳ میلیون دانلود هفتگی)

با وجود مقیاس عظیم این حمله، کارشناسان امنیتی اشاره می‌کنند که تأثیر آن به دلیل شرایط خاصی که برای آلودگی لازم است، تا حدودی محدود شده است. یک برنامه یا وب‌سایت تنها در صورتی تحت تأثیر قرار گرفته که نصب جدیدی از این پکیج‌ها را دقیقاً در بازه زمانی کوتاه چند ساعته‌ای که نسخه‌های مخرب در دسترس بودند، انجام داده باشد. تیم امنیتی NPM نیز به سرعت اقدام به حذف نسخه‌های آلوده کرده است.