هاكرز استخدموا مواقع وهمية لسرقة حساب npm موثوق ونشر رمز ضار عبر حزم مشهورة.
محافظ العملات الرقمية مثل MetaMask و Trust Wallet قد تكون معرضة للخطر إذا استخدمت مكتبات JavaScript المصابة.
يجب على المستخدمين التوقف عن توقيع المعاملات والتحقق من جميع الحزم إذا كانت تطبيقاتهم قد تم تحديثها مؤخرًا عبر npm.
لقد تعرض حساب npm JavaScript موثوق به لعملية هجوم كبيرة على سلسلة التوريد. أكد الباحثون أن الشيفرة الخبيثة قد أصابت بالفعل 18 حزمة شائعة. تم تحميل هذه الحزم أكثر من 2 مليار مرة في الأسبوع الماضي فقط. تحتوي الحزم المتأثرة على شيفرة قادرة على تبديل عناوين محافظ العملات الرقمية بشكل صامت.
هذا الهجوم مصمم لتحويل المعاملات دون علم المستخدم. حتى إذا قام المستخدمون بتوقيع المعاملة التي تبدو صحيحة، فقد تذهب الأموال إلى المهاجم. نظام جافا سكريبت في خطر بسبب مدى تكامل هذه الحزم. يتم حث المطورين على تدقيق وإزالة الاعتماديات المتأثرة على الفور.
محافظ العملات الرقمية والأنظمة البيئية في خطر
يؤثر الهجوم على العديد من المحافظ المعروفة المستندة إلى المتصفح وسطح المكتب. مثل: ميتا ماسك، محفظة تراست، وإكسودوس. تظل المحافظ الصلبة أكثر أمانًا، ومع ذلك، يجب على المستخدمين التحقق من تفاصيل المعاملات عن كثب. يستخدم المهاجم عناوين محافظ مشابهة لخداع المستخدمين أثناء عملية التوقيع.
يمكن فقط لفحص دقيق حرفًا بحرف أن يكتشف الفرق. يتحقق معظم المستخدمين فقط من الأحرف القليلة الأولى والأخيرة من عناوين المحفظة. وهذا يجعلهم عرضة لتكتيكات تبديل العناوين. كما أن السكربتات الآلية والعقود الذكية معرضة للخطر إذا اعتمدت على المكتبات الم compromised.
كانت نقطة الدخول حساب مطور مخترق
بدأ الاختراق عندما تمكن المهاجمون من السيطرة على حساب أحد الم Maintainers الموثوقين في npm. يعتقد الباحثون أن هذا تم باستخدام التصيد الاحتيالي ومطالبات المصادقة الثنائية المزيفة.
مؤخراً، لاحظ باحثو الأمن السيبراني أن هاكرز أخفوا برامج ضارة في عقود Ethereum الذكية عبر حزم NPM، باستخدام عناوين URL للبلوكشين لتجاوز الفحوصات وتسليم حمولات المرحلة الثانية. قام المهاجمون بإنشاء مستودعات GitHub مزيفة مع التزامات مزيفة وحسابات متعددة لتعزيز المصداقية. أبلغ مستخدمو GitHub عن رسائل إلكترونية مشبوهة تتظاهر بأنها من دعم npm.
استخدم المهاجم نطاقًا ي mimيك موقع npm الحقيقي. هددت هذه الرسائل الإلكترونية بقفل الحسابات لإجبار المطورين على النقر على روابط التصيد. بمجرد اختراق الحساب، تم استخدامه لتحديث حزم متعددة ببرامج خبيثة. تم تصحيح بعض الحزم لاحقًا، لكن لا تزال أخرى غير آمنة.
تحذيرات الأمان واستجابة المطورين
تحذر الفرق الأمنية والباحثون المستخدمين من تجنب الأنشطة على السلسلة في الوقت الحالي. يجب على مستخدمي العملات المشفرة تعطيل محافظ المتصفح وإيقاف توقيع المعاملات مؤقتًا. لم يتم الإبلاغ عن خسائر كبيرة حتى الآن، لكن المخاطر لا تزال مرتفعة.
أكدت بعض منصات DeFi، بما في ذلك Axiom و Kamino، أنها لم تستخدم الحزم المصابة. ومع ذلك، يجب على المطورين التحقق من جميع الاعتمادات، وخاصة تلك المرتبطة بالمكتبات الشهيرة مثل Chalk. وقد تم الإبلاغ عن هذا النوع من الثغرات أيضًا في عام 2024 عندما استغل الهاكرز Lottie Player Java Script، مما أدى إلى تأمين المحافظ على مواقع DeFi الموثوقة مثل 1inch.
قام فريق npm بتعطيل الإصدارات المعروفة بأنها مخترقة، ولكن التحديثات الأخيرة قد لا تزال تحمل مخاطر. لا يزال النطاق الكامل للهجوم غير معروف. قد يتوسع التهديد إذا تم استهداف المزيد من حسابات المطورين باستخدام تكتيكات التصيد المشابهة.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تم اختراق حساب NPM موثوق به لنشر رمز ضار يتسبب في تهديد المعاملات و المحفظة في مجال العملات الرقمية A...
هاكرز استخدموا مواقع وهمية لسرقة حساب npm موثوق ونشر رمز ضار عبر حزم مشهورة.
محافظ العملات الرقمية مثل MetaMask و Trust Wallet قد تكون معرضة للخطر إذا استخدمت مكتبات JavaScript المصابة.
يجب على المستخدمين التوقف عن توقيع المعاملات والتحقق من جميع الحزم إذا كانت تطبيقاتهم قد تم تحديثها مؤخرًا عبر npm.
لقد تعرض حساب npm JavaScript موثوق به لعملية هجوم كبيرة على سلسلة التوريد. أكد الباحثون أن الشيفرة الخبيثة قد أصابت بالفعل 18 حزمة شائعة. تم تحميل هذه الحزم أكثر من 2 مليار مرة في الأسبوع الماضي فقط. تحتوي الحزم المتأثرة على شيفرة قادرة على تبديل عناوين محافظ العملات الرقمية بشكل صامت.
هذا الهجوم مصمم لتحويل المعاملات دون علم المستخدم. حتى إذا قام المستخدمون بتوقيع المعاملة التي تبدو صحيحة، فقد تذهب الأموال إلى المهاجم. نظام جافا سكريبت في خطر بسبب مدى تكامل هذه الحزم. يتم حث المطورين على تدقيق وإزالة الاعتماديات المتأثرة على الفور.
محافظ العملات الرقمية والأنظمة البيئية في خطر
يؤثر الهجوم على العديد من المحافظ المعروفة المستندة إلى المتصفح وسطح المكتب. مثل: ميتا ماسك، محفظة تراست، وإكسودوس. تظل المحافظ الصلبة أكثر أمانًا، ومع ذلك، يجب على المستخدمين التحقق من تفاصيل المعاملات عن كثب. يستخدم المهاجم عناوين محافظ مشابهة لخداع المستخدمين أثناء عملية التوقيع.
يمكن فقط لفحص دقيق حرفًا بحرف أن يكتشف الفرق. يتحقق معظم المستخدمين فقط من الأحرف القليلة الأولى والأخيرة من عناوين المحفظة. وهذا يجعلهم عرضة لتكتيكات تبديل العناوين. كما أن السكربتات الآلية والعقود الذكية معرضة للخطر إذا اعتمدت على المكتبات الم compromised.
كانت نقطة الدخول حساب مطور مخترق
بدأ الاختراق عندما تمكن المهاجمون من السيطرة على حساب أحد الم Maintainers الموثوقين في npm. يعتقد الباحثون أن هذا تم باستخدام التصيد الاحتيالي ومطالبات المصادقة الثنائية المزيفة.
مؤخراً، لاحظ باحثو الأمن السيبراني أن هاكرز أخفوا برامج ضارة في عقود Ethereum الذكية عبر حزم NPM، باستخدام عناوين URL للبلوكشين لتجاوز الفحوصات وتسليم حمولات المرحلة الثانية. قام المهاجمون بإنشاء مستودعات GitHub مزيفة مع التزامات مزيفة وحسابات متعددة لتعزيز المصداقية. أبلغ مستخدمو GitHub عن رسائل إلكترونية مشبوهة تتظاهر بأنها من دعم npm.
استخدم المهاجم نطاقًا ي mimيك موقع npm الحقيقي. هددت هذه الرسائل الإلكترونية بقفل الحسابات لإجبار المطورين على النقر على روابط التصيد. بمجرد اختراق الحساب، تم استخدامه لتحديث حزم متعددة ببرامج خبيثة. تم تصحيح بعض الحزم لاحقًا، لكن لا تزال أخرى غير آمنة.
تحذيرات الأمان واستجابة المطورين
تحذر الفرق الأمنية والباحثون المستخدمين من تجنب الأنشطة على السلسلة في الوقت الحالي. يجب على مستخدمي العملات المشفرة تعطيل محافظ المتصفح وإيقاف توقيع المعاملات مؤقتًا. لم يتم الإبلاغ عن خسائر كبيرة حتى الآن، لكن المخاطر لا تزال مرتفعة.
أكدت بعض منصات DeFi، بما في ذلك Axiom و Kamino، أنها لم تستخدم الحزم المصابة. ومع ذلك، يجب على المطورين التحقق من جميع الاعتمادات، وخاصة تلك المرتبطة بالمكتبات الشهيرة مثل Chalk. وقد تم الإبلاغ عن هذا النوع من الثغرات أيضًا في عام 2024 عندما استغل الهاكرز Lottie Player Java Script، مما أدى إلى تأمين المحافظ على مواقع DeFi الموثوقة مثل 1inch.
قام فريق npm بتعطيل الإصدارات المعروفة بأنها مخترقة، ولكن التحديثات الأخيرة قد لا تزال تحمل مخاطر. لا يزال النطاق الكامل للهجوم غير معروف. قد يتوسع التهديد إذا تم استهداف المزيد من حسابات المطورين باستخدام تكتيكات التصيد المشابهة.