حملات سایبری به حوزه رمزارزها موضوع تازهای نیست، اما این بار ماجرا ابعاد بسیار گستردهتری پیدا کرده است. نفوذ هکرها به قلب یکی از زیرساختهای اصلی توسعه نرم افزار یعنی NPM نشان داد که حتی بنیادیترین ابزارهای برنامه نویسی نیز میتوانند به نقطه ضعف بزرگی تبدیل شوند. در بزرگترین حمله تاریخ به NPM میلیونها کاربر کیف پولهای دیجیتال در سراسر جهان به صورت مستقیم یا غیرمستقیم در معرض خطر قرار گرفتند.
آیا واقعاً یک خط کد پنهان میتواند میلیونها کاربر را فریب دهد؟ آیا با راهکارهای امنیتی میتوان جلوی از دست رفتن داراییها را گرفت؟ در این گزارش مهم از سایت ارزیکال به صورت جامع تمام ابعاد این اتفاق را بررسی خواهیم کرد.
بزرگترین حمله تاریخ به NPM؛ تهدیدی در مقیاس جهانی
پکیج NPM یا Node Package Manager یک مخزن عظیم از بستههای کد جاوا اسکریپت است که توسعهدهندگان برای ساخت اپلیکیشنها از آن استفاده میکنند. این پلتفرم هر هفته بیش از ۲ میلیارد بار دانلود دارد و به نوعی ستون فقرات اینترنت محسوب میشود. اما همین گستردگی آن را به هدفی جذاب برای هکرها تبدیل کرده است.
این پکیج در اجرا و عملکرد کیف پولهای ارز دیجیتال نیز کاربردهای زیادی دارد و این مسئله تهدیدی جدی برای همه کاربران این حوزه به شمار میرود.
در بزرگترین حمله تاریخ به NPM، حساب کاربری یک توسعهدهنده مشهور با نام مستعار Qix هک شد. هکرها نسخههای جدید و آلودهای از کتابخانههای پرکاربردی مانند chalk، strip-ansi و color-convert را منتشر کردند. این کتابخانهها در اعماق بسیاری از پروژههای نرمافزاری قرار دارند و حتی کسانی که مستقیم آنها را نصب نکردهاند نیز ممکن است به صورت غیرمستقیم آلوده شده باشند.
این حمله از نوع «زنجیره تامین نرمافزار» بود. یعنی مهاجمان به جای هدف قرار دادن مستقیم کاربران، به سراغ کدهایی رفتند که هزاران توسعهدهنده و میلیونها کاربر به آنها اعتماد کردهاند. همین موضوع باعث شد ابعاد ماجرا به سرعت جهانی شود.
روشهای پیشرفته بدافزار؛ سرقت پنهانی از تراکنشها
بدافزار کشف شده در این حمله دو روش اصلی برای سرقت داراییها دارد:
- سرقت کلیپ بورد (Clipboard Hijacking): تغییر خودکار آدرس کیف پول هنگام کپی کردن و جایگزینی آن با آدرس مشابه تحت کنترل هکر. از آنجایی که کاربران اغلب فقط چند رقم ابتدایی و انتهایی آدرس را بررسی میکنند، این روش بسیار کارآمد است.
- اخلال در تراکنش (Transaction Interception): دستکاری تراکنشها در لحظه امضا. زمانی که کاربر قصد ارسال رمزارز دارد، بدافزار آدرس مقصد را در پسزمینه تغییر میدهد، به گونهای که کاربر بدون آگاهی، دارایی خود را به کیف پول مهاجم ارسال میکند.
همچنین گزارشهایی نشان دادند که اگر کیف پولی شناسایی نمیشد، بدافزار به سراغ آدرسهای رمزارزی موجود در صفحات وب میرفت و آنها را جایگزین میکرد. این یعنی حتی کسانی که صرفاً از وب سایتها برای کپی آدرس استفاده میکردند، میتوانستند قربانی شوند.
کشف اتفاقی و واکنش جامعه توسعهدهندگان
علائم اولیه زمانی ظاهر شد که برخی توسعهدهندگان با خطاهای عجیب مانند “fetch is not defined” در فرآیند ساخت کد روبهرو شدند. بررسی دقیقتر نشان داد که کدهای آلوده با روشهایObfuscation (کدگذاری پیچیده) پنهان شدهاند و توابعی مشکوک مانند checkethereumw درون آنها وجود دارد.
پس از آشکار شدن موضوع، جامعه توسعهدهندگان و پژوهشگران امنیتی به سرعت واکنش نشان دادند و هشدارهای گستردهای به کاربران داده شد. رئیس بخش تکنولوژی کمپانی Ledger در اکانت X خود به کاربران هشدار داد که تعداد گستردهای از پلتفرمهای متصل به جاوا اسکریپت به کد مخرب آلوده شدند.
پلتفرمهای بزرگ اعلام کردند که به دلیل استفاده نکردن از نسخههای آلوده یا داشتن لایههای امنیتی اضافی، تحت تأثیر قرار نگرفتهاند. با این وجود، نگرانی درباره هزاران پروژه کوچکتر که ممکن است این بستهها را بهروز کرده باشند همچنان باقی مانده است.
در بخش بعد در مورد اینکه چه بسترهایی در معرض خطر قرار گرفتند توضیحاتی ارائه میکنیم.
چه کسانی در معرض خطر قرار گرفتند؟
بر اساس گزارشها، کاربران کیف پولهای مبتنی بر شبکه اتریوم و سولانا بیشتر در معرض بزرگترین حمله تاریخ به NPM بودند. اما خوشبختانه بسیاری از پروژههای بزرگ اعلام کردند که کدهای آنها آلوده نبوده است.
- سازندگان کیف پول متامسک و ولت سخت افزاری لجر Ledger تایید کردند که به دلیل وجود لایههای دفاعی چندگانه، آلوده نشدهاند.
- صرافیهای Phantom و یونی سواپ هیچ یک از نسخههای آلوده در پلتفرمهایشان بهکار گرفته نشده است.
- در صورت بهروزرسانی همزمان با انتشار بستههای آلوده، ممکن است کاربران پروژههای کوچکتر در معرض خطر قرار گرفته باشند.
به گفته مؤسس پلتفرم DefiLlama، کاربران تنها در صورتی آسیب میدیدند که هم پروژه مورد استفادهشان آلوده شده باشد و هم خودشان تراکنش مشکوک را تأیید کرده باشند. پس اگر هنگام انتقال ارز دیجیتال در بررسی آدرسها دقت لازم را به خرج دهید مشکلی برای داراییهایتان پیش نخواهد آمد.
خسارت واقعی کمتر از ۵۰ دلار؛ این مسئله مشکوک است
برخلاف ابعاد عظیم حمله، میزان سرقت دارایی بسیار ناچیز بود. طبق گزارش پلتفرم Security Alliance، تنها حدود ۵۰ دلار رمزارز به سرقت رفته است. این شامل مقادیر اندکی اتریوم و چند توکن میم کوین نظیر BRETT، ANDY، DORK، VISTA و GONDOLA بود.
یک پژوهشگر امنیتی این موضوع را چنین توصیف کرد: «تصور کنید کلید ورود به قلعهای پر از طلا دارید، اما فقط برای نگه داشتن صفحه یک کتاب از آن استفاده میکنید.»
این تضاد عجیب میان ابعاد حمله و میزان خسارت، پرسشهای زیادی را برانگیخت. برخی معتقدند هکرها یا ناتوان بودند یا قصد داشتند بیشتر به عنوان یک هشدار عمل کنند تا یک سرقت واقعی. هرچند این احتمال هم وجود دارد خسارات پنهانی هنوز کشف نشده باشد.
توصیههای امنیتی برای کاربران
کارشناسان امنیتی مجموعهای از اقدامات پیشگیرانه را برای کاربران پیشنهاد کردهاند. در این بخش به این توصیهها اشاره خواهیم کرد:
- همیشه کل آدرس مقصد را کاراکتر به کاراکتر بررسی کنید.
- برای ارسال به آدرسهای جدید ابتدا یک تراکنش آزمایشی کوچک انجام دهید.
- فعالیتهای اخیر کیف پول خود را بازبینی کنید و در صورت مشاهده موارد مشکوک، مجوزها را لغو کرده و داراییها را به کیف پول جدید منتقل کنید.
- در صورت امکان از کیف پول سخت افزاری استفاده کنید، زیرا نمایش جزئیات تراکنش روی دستگاهی جداگانه، امنیت بالاتری ایجاد میکند.
- اگر مطمئن نیستید، موقتاً از انجام تراکنشهای مهم خودداری کنید تا اطمینان حاصل شود که تمام نسخههای آلوده پاکسازی شدهاند.
این موارد تا حد زیادی از بروز مشکلات برای شما جلوگیری خواهند کرد. اما دقت کنید اگر تراکنش واجبی ندارید بهتر است فعلاً انجام هرگونه تبادل ارز دیجیتال را به تعویق بیندازید.
پیامدها برای آینده اکوسیستم متن باز
این حادثه بار دیگر نشان داد که اعتماد به اکوسیستمهای متن باز میتواند خطرناک باشد. هک تنها یک حساب کاربری کافی بود تا کدی مخرب میلیاردها بار توسط کاربران و افراد مختلف دانلود شود.
اگرچه خسارت مالی این بار ناچیز بود، اما زنگ خطری جدی برای این صنعت محسوب میشود. کارشناسان هشدار دادهاند که اگر حمله بعدی با برنامهریزی بهتر انجام شود، ممکن است میلیاردها دلار از داراییهای دیجیتال در خطر قرار بگیرد.
به گفته پژوهشگران باید بگوییم که این بار خوش شانس بودیم. جامعه سریع واکنش نشان داد. اما شکنندگی سیستمهایمان آشکار شد. اگر دوباره چنین اتفاقی رخ دهد، ممکن است پیامدهای جبران ناپذیری برای طیف گستردهای از کاربران به دنبال داشته باشد.
توصیه ما همیشه این است که هنگام انجام تراکنشها تمامی موارد امنیتی را رعایت کنید تا بتوانید به بهترین نحو ممکن از داراییهای خود محافظت کنید.
