اخبار

افشای حمله بزرگ هکری به زنجیره تامین جاوااسکریپت توسط Ledger

۱۸ شهریور ۱۴۰۴ آخرین به روز رسانی: ۱۸ شهریور ۱۴۰۴
54 خواندن این مطلب 2 دقیقه زمان میبرد
افشای حمله بزرگ هکری به زنجیره تامین جاوااسکریپت توسط Ledger

لجر یکی از جدی‌ترین حملات زنجیره تامین تاریخ اکوسیستم جاوااسکریپت را افشا کرد؛ حمله‌ای که میلیون‌ها کاربر و پروژه متن‌باز را تهدید می‌کند.

محتوا پنهان
1 هشدار فوری Ledger
2 کتابخانه‌های پرکاربرد هدف بدافزار
3 استراتژی پیشرفته هکرها
4 پیامدها و نگرانی‌های این حمله

هشدار فوری Ledger

«چارلز گیومه»، مدیر ارشد فناوری Ledger، روز دوشنبه در شبکه اجتماعی X اعلام کرد که حساب یکی از توسعه‌دهندگان معتبر npm هک شده و به‌روزرسانی‌های آلوده در کتابخانه‌های پرکاربرد منتشر شده است.

او نوشت:

یک حمله بزرگ زنجیره تامین در جریان است … کل اکوسیستم جاوااسکریپت ممکن است در خطر باشد.

گیومه تاکید کرد که کاربران کیف‌پول سخت‌افزاری در صورت تایید دستی هر تراکنش امن هستند، اما سایر کاربران بهتر است موقتا از انجام تراکنش‌های بلاکچینی خودداری کنند.

کتابخانه‌های پرکاربرد هدف بدافزار

به گزارش کریپتودیلی، این رخنه در ۸ سپتامبر (۱۷ شهریور) آغاز شد، زمانی که هکرها با نفوذ به حساب «جاش گلدبرگ» (Qix) نسخه‌های آلوده ۱۸ پکیج را منتشر کردند. این بسته‌ها بیش از ۲.۶ میلیارد دانلود هفتگی دارند و در ابزارهای اصلی توسعه مانند Babel و ESLint استفاده می‌شوند.

کد مخرب حاوی بدافزار crypto-clipper بود که وظیفه آن جایگزینی خودکار آدرس‌های کیف‌پول کاربر با آدرس‌های تحت کنترل مهاجم و حتی تغییر جزئیات تراکنش‌ها قبل از امضای دیجیتال بود. کشف اولیه بدافزار پس از بروز خطا در فرآیند build و مشاهده کدهای مبهم‌شده صورت گرفت.

استراتژی پیشرفته هکرها

بررسی‌ها نشان داد که حمله با دو لایه طراحی شده است:

  • جایگزینی مخفیانه آدرس‌های کیف‌پول با نمونه‌های مشابه
  • رهگیری و تغییر تراکنش‌ها در کیف‌پول‌های مرورگری مانند MetaMask
  • این روش ترکیبی به هکرها امکان می‌داد وجوه کاربران را بی‌صدا و بدون جلب توجه منتقل کنند.

منشا حمله نیز یک فیشینگ سازمان‌یافته علیه نگهدارندگان npm بوده است. ایمیل‌های جعلی با ظاهر پیام‌های امنیتی رسمی npm، قربانیان را به صفحه ورود تقلبی هدایت کرده و دسترسی مهاجمان به حساب‌ها را فراهم کردند.

پیامدها و نگرانی‌های این حمله

گرچه نسخه‌های آلوده بسیاری از این پکیج‌ها حذف شده‌اند، اما کارشناسان هشدار می‌دهند که وابستگی‌های غیرمستقیم (transitive dependencies) کنترل کامل تهدید را دشوار کرده است.

به توسعه‌دهندگان توصیه می‌شود:

  • پروژه‌های خود را ممیزی (audit) کنند،
  • نسخه‌های امن بسته‌ها را مشخص نمایند،
  • و فایل‌های lockfile را بازسازی کنند.

این حادثه بار دیگر شکنندگی اکوسیستم متن‌باز و وابستگی شدید آن به اعتماد بین توسعه‌دهندگان را آشکار کرد. با توجه به شناسایی آدرس‌های مرتبط با وجوه سرقت‌شده روی بلاکچین، محققان این حمله را از شدیدترین رخدادهای تاریخ جاوااسکریپت توصیف کرده‌اند.

امتیاز شما به این مقاله

میانگین امتیازات ۵ از ۵
از مجموع ۴ رای
image banner
نویسنده: کیارش پورتارم