عنوان پست

Cointelegraph by Nate Kostar7 روز پیش

0 خواندن این مطلب 2 دقیقه زمان میبرد

NPM Attack Injects Crypto-Stealing Malware Into Core JavaScript Libraries — *Source:* *Minal Thukral*

هکرها کتابخانه‌های نرم‌افزاری جاوااسکریپت پرکاربرد را در آنچه بزرگ‌ترین حمله زنجیره تأمین در تاریخ خوانده شده است، به خطر انداخته‌اند. گفته می‌شود بدافزار تزریق شده با هدف سرقت ارزهای دیجیتال از طریق تعویض آدرس‌های کیف پول و رهگیری تراکنش‌ها طراحی شده است.

محتوا پنهان

1 ایمیل‌های فیشینگ دسترسی مهاجمان به حساب‌های مدیران NPM را فراهم کرد
- 1.1 مطالب مرتبط:

طبق گزارش‌های متعدد در روز دوشنبه، هکرها به حساب مدیر بسته نود (NPM) یک توسعه‌دهنده مشهور نفوذ کرده و مخفیانه بدافزار به کتابخانه‌های محبوب جاوااسکریپت که توسط میلیون‌ها اپلیکیشن استفاده می‌شود، اضافه کرده‌اند.

کد مخرب آدرس‌های کیف پول ارز دیجیتال را تعویض یا ربوده و به این ترتیب ممکن است بسیاری از پروژه‌ها را در معرض خطر قرار دهد.

چارلز گویلمه، مدیر فناوری شرکت لجر، روز دوشنبه هشدار داد: «یک حمله زنجیره تأمین گسترده در حال انجام است: حساب NPM یک توسعه‌دهنده معتبر به خطر افتاده است.» «بسته‌های آسیب‌دیده تاکنون بیش از یک میلیارد بار دانلود شده‌اند، بنابراین کل اکوسیستم جاوااسکریپت ممکن است در معرض خطر باشد.»

JavaScript, Hackers — *منبع:* *مینال توکرال*

نفوذ به بسته‌هایی مانند chalk، strip-ansi و color-convert هدف گرفته شده است — ابزارهای کوچک که عمیقاً در درخت‌های وابستگی پروژه‌های متعددی دفن شده‌اند. به طور کلی، این کتابخانه‌ها هر هفته بیش از یک میلیارد بار دانلود می‌شوند، به این معنی که حتی توسعه‌دهندگانی که آن‌ها را به طور مستقیم نصب نکرده‌اند نیز ممکن است در معرض خطر باشند.

NPM مانند یک فروشگاه اپلیکیشن برای توسعه‌دهندگان است — کتابخانه مرکزی که در آن بسته‌های کوچک کد به اشتراک گذاشته شده و دانلود می‌شوند تا پروژه‌های جاوااسکریپت ساخته شوند.

به نظر می‌رسد مهاجمان یک کریپتو-کلیپر (crypto-clipper)، نوعی بدافزار، نصب کرده‌اند که در هنگام تراکنش، به طور مخفیانه آدرس‌های کیف پول را تعویض می‌کند تا وجوه را منحرف کند.

پژوهشگران امنیتی هشدار داده‌اند که کاربران کیف پول‌های نرم‌افزاری ممکن است به ویژه آسیب‌پذیر باشند، در حالی که کسانی که هر تراکنش را روی کیف پول سخت‌افزاری تایید می‌کنند، محافظت شده‌اند.

ایمیل‌های فیشینگ دسترسی مهاجمان به حساب‌های مدیران NPM را فراهم کرد

مهاجمان ایمیل‌هایی تحت عنوان پشتیبانی رسمی NPM ارسال کردند و به مدیران هشدار دادند که حساب‌هایشان قفل خواهد شد مگر اینکه تا 10 سپتامبر احراز هویت دو مرحله‌ای را «به‌روزرسانی» کنند.

سایت جعلی اطلاعات ورود را جمع‌آوری کرد و کنترل حساب مدیر را به هکرها داد. پس از ورود، مهاجمان به‌روزرسانی‌های مخرب را به بسته‌هایی با میلیاردها دانلود هفتگی ارسال کردند.

چارلی اریکسن، محقق در شرکت Aikido Security، به BleepingComputer گفت حمله به ویژه خطرناک بود زیرا «در چندین لایه عمل می‌کرد: تغییر محتوای نمایش داده شده در وب‌سایت‌ها، دستکاری فراخوان‌های API، و دستکاری آنچه اپلیکیشن‌های کاربران تصور می‌کنند امضا می‌کنند.»