تم اختراق حساب NPM لمطور مشهور، مما أدى إلى إصدار إصدارات خبيثة من حزم مثل chalk و color-convert، التي تم تنزيلها مليارات المرات - مما تسبب في خطر هائل على سلسلة الإمداد.
قام المهاجمون بإدراج برنامج استيلاء على الحافظة يستبدل عناوين محافظ العملات المشفرة باستخدام مرئيات متشابهة للغاية ( عبر مسافة ليفنشتاين ) أو يتجاوز بنشاط العناوين التي يتم اكتشافها بواسطة المتصفح لاعتراض المعاملات.
على الرغم من أن إجمالي ما حققه الهاكر حتى الآن هو حوالي ~$496، إلا أن معظم الحزم المتأثرة تم إصلاحها أو إزالتها؛ وقد أكدت المحافظ الرئيسية ( مثل MetaMask و Phantom) أنها لم تتأثر، لكن الحذر لا يزال مطلوبًا.
لقد تعرضت سلسلة إمداد NPM لهجوم كبير مما أدى إلى اختراق حزم JavaScript المستخدمة على نطاق واسع - التي تم تنزيلها أكثر من مليار مرة - حيث تم حقن مخترقي عناوين العملات المشفرة الذين يسرقون الأموال بهدوء. إليك ما حدث وكيف تحمي نفسك.
في 9 سبتمبر، بتوقيت بكين، نشر تشارلز غيليميت، كبير المسؤولين التكنولوجيين في ليدجر، تحذيرًا على X: "هجوم كبير على سلسلة التوريد جارٍ حاليًا، وقد تم اختراق حساب NPM لمطور معروف. لقد تم تنزيل الحزم المتأثرة أكثر من مليار مرة، مما يعني أن نظام جاڤا سكريبت البيئي بالكامل قد يكون في خطر."
أضاف غيليميت: "يعمل الرمز الضار عن طريق التلاعب بهدوء بعناوين العملات المشفرة في الخلفية لسرقة الأموال. إذا كنت تستخدم محفظة أجهزة، يرجى التحقق بعناية من كل معاملة موقعة وستكون في أمان. إذا لم تكن تستخدم محفظة أجهزة، يرجى تجنب إجراء أي معاملات على السلسلة في الوقت الحالي. ليس من الواضح ما إذا كان المهاجمون يسرقون مباشرة العبارات المونيمية لمحافظ البرامج."
ماذا حدث؟
وفقًا لتقرير الأمان الذي استشهد به غيليم، كانت السبب المباشر وراء هذه الحادثة هو اختراق حساب NPM للمطور المعروف @qix، مما أدى إلى إصدار نسخ ضارة من العشرات من حزم البرمجيات، بما في ذلك chalk و strip-ansi و color-convert. قد يكون الكود الضار قد انتشر إلى الطرفية عندما قام المطورون أو المستخدمون بتثبيت التبعيات تلقائيًا.
ملاحظة Odaily: بيانات التحميل الأسبوعية لحزم البرمجيات المهددة.
باختصار، هذه حالة كلاسيكية من هجوم سلسلة التوريد - هجوم يقوم فيه المهاجم بإدخال تعليمات برمجية خبيثة ( مثل حزم NPM) في أدوات التطوير أو أنظمة الاعتماد. NPM، اختصار لمدير حزم Node، هو أداة إدارة الحزم الأكثر شيوعًا في نظام JavaScript/Node.js. تشمل وظائفه الرئيسية إدارة الاعتماد، وتثبيت وتحديث الحزم، ومشاركة الشيفرة.
نظام NPM البيئي ضخم للغاية، حيث يتوفر حاليًا ملايين حزم البرمجيات. تعتمد تقريبًا جميع مشاريع Web3، والمحافظ الرقمية، وأدوات الواجهة الأمامية على NPM. بالضبط لأن NPM يعتمد على عدد كبير من التبعيات والروابط المعقدة، فإنه نقطة دخول عالية المخاطر لهجمات سلسلة التوريد. طالما أن المهاجم يزرع شفرة خبيثة في حزمة برمجيات مستخدمة بشكل شائع، فقد يؤثر ذلك على آلاف التطبيقات والمستخدمين.
كما هو موضح في مخطط تدفق انتشار الشيفرة الخبيثة أعلاه:
مشروع معين (blue box) سيعتمد مباشرة على بعض المكتبات المفتوحة المصدر الشائعة، مثل express.
تعتمد هذه التبعيات المباشرة (الصناديق الخضراء) بدورها على تبعيات غير مباشرة أخرى (الصناديق الصفراء، مثل lodash).
إذا تم زرع اعتماد غير مباشر سراً برمز خبيث (الصندوق الأحمر) من قبل مهاجم، فسيدخل المشروع على طول سلسلة الاعتماد.
ماذا يعني هذا للعملات المشفرة؟
ترتبط الأهمية المباشرة لهذا الحادث الأمني بصناعة العملات المشفرة في حقيقة أن الشيفرة الخبيثة التي زرعها المتسللون في حزمة البرمجيات الملوثة المذكورة أعلاه هي "خاطف حافظة العملات المشفرة" متطور يسرق الأصول المشفرة عن طريق استبدال عناوين المحافظ واختطاف المعاملات.
شرح مؤسس Stress Capital GE (@GuarEmperor) هذا بمزيد من التفصيل على X. يستخدم "خاطف الحافظة" الذي حقنه القراصنة وضعين للهجوم: الوضع السلبي يستخدم "خوارزمية مسافة ليفنشتاين" لاستبدال عنوان المحفظة، وهو ما يصعب اكتشافه بشدة بسبب تشابهه البصري؛ الوضع النشط يكشف المحفظة المشفرة في المتصفح ويعبث بالعنوان المستهدف قبل أن يقوم المستخدم بتوقيع المعاملة.
نظرًا لأن هذا الهجوم يستهدف مكتبات الطبقة الأساسية لمشاريع JavaScript، فقد تتأثر حتى المشاريع التي تعتمد بشكل غير مباشر على هذه المكتبات.
كم هي أرباح القراصنة؟
الكود الخبيث الذي زرعه القراصنة كشف أيضًا عن عنوان هجماتهم. عنوان الهجوم الرئيسي للقراصنة على إيثيريوم هو 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976، والأموال تأتي بشكل رئيسي من العناوين الثلاثة التالية:
0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240
x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B
0x30F895a2C66030795131FB66CBaD6a1f91461731
أنشأت Arkham صفحة تتبع لهذا الهجوم، حيث يمكن للمستخدمين التحقق من أرباح المخترق وحالة التحويل في الوقت الفعلي.
اعتبارًا من هذا المنشور، حقق القراصنة ربحًا قدره 496 دولارًا فقط من الهجوم، ولكن بالنظر إلى أن مدى انتشار الشيفرة الخبيثة لم يتم تحديده بعد، من المتوقع أن يستمر هذا الرقم في الارتفاع. تم إبلاغ المطور الآن وهو يعمل بنشاط مع فريق أمان NPM لحل المشكلة. لقد تمت إزالة الشيفرة الخبيثة الآن من معظم الحزم المتأثرة، لذا فإن الوضع تحت السيطرة.
كيف تتجنب المخاطر؟
قال مؤسس Defillama @0xngmi يو إكس إنه على الرغم من أن هذه الحادثة تبدو خطيرة، إلا أن الأثر الفعلي ليس مبالغاً فيه - لأن هذه الحادثة ستؤثر فقط على المواقع التي قامت بدفع تحديثات منذ إصدار حزمة NPM المخترقة، وستستمر المشاريع الأخرى في استخدام النسخة القديمة؛ ومعظم المشاريع ستقوم بإصلاح اعتماداتها، لذا حتى لو قامت بدفع تحديثات، ستستمر في استخدام الشيفرة الأمنية القديمة.
ومع ذلك، نظرًا لأن المستخدمين لا يمكنهم حقًا معرفة ما إذا كان المشروع لديه تبعيات ثابتة أو ما إذا كانت لديه بعض التبعيات التي يتم تنزيلها ديناميكيًا، يُطلب من طرف المشروع حاليًا إجراء تفتيش ذاتي والإفصاح عن ذلك أولاً.
اعتبارًا من هذا المنشور، أفادت مشاريع متعددة للمحافظ أو التطبيقات، بما في ذلك MetaMask وPhantom وAave وFluid وJupiter، بأنها ليست متأثرة بهذا الحادث. لذلك، من الناحية النظرية، يمكن للمستخدمين استخدام المحافظ الآمنة المؤكدة للوصول إلى البروتوكولات الآمنة المؤكدة بأمان. ومع ذلك، بالنسبة للمحافظ أو المشاريع الأخرى التي لم تقدم بعد إفصاحات أمنية، قد يكون من الأفضل تجنب استخدامها مؤقتًا.
〈بين عشية وضحاها، "هجمات سلسلة التوريد" هيمنت على العناوين: ماذا حدث؟ كيف يمكننا تقليل المخاطر؟〉 هذه المقالة نُشرت لأول مرة في "CoinRank".
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
بين عشية وضحاها، تصدرت "هجمات سلسلة التوريد" عناوين الأخبار: ماذا حدث؟ كيف يمكننا تخفيف المخاطر؟
تم اختراق حساب NPM لمطور مشهور، مما أدى إلى إصدار إصدارات خبيثة من حزم مثل chalk و color-convert، التي تم تنزيلها مليارات المرات - مما تسبب في خطر هائل على سلسلة الإمداد.
قام المهاجمون بإدراج برنامج استيلاء على الحافظة يستبدل عناوين محافظ العملات المشفرة باستخدام مرئيات متشابهة للغاية ( عبر مسافة ليفنشتاين ) أو يتجاوز بنشاط العناوين التي يتم اكتشافها بواسطة المتصفح لاعتراض المعاملات.
على الرغم من أن إجمالي ما حققه الهاكر حتى الآن هو حوالي ~$496، إلا أن معظم الحزم المتأثرة تم إصلاحها أو إزالتها؛ وقد أكدت المحافظ الرئيسية ( مثل MetaMask و Phantom) أنها لم تتأثر، لكن الحذر لا يزال مطلوبًا.
لقد تعرضت سلسلة إمداد NPM لهجوم كبير مما أدى إلى اختراق حزم JavaScript المستخدمة على نطاق واسع - التي تم تنزيلها أكثر من مليار مرة - حيث تم حقن مخترقي عناوين العملات المشفرة الذين يسرقون الأموال بهدوء. إليك ما حدث وكيف تحمي نفسك.
في 9 سبتمبر، بتوقيت بكين، نشر تشارلز غيليميت، كبير المسؤولين التكنولوجيين في ليدجر، تحذيرًا على X: "هجوم كبير على سلسلة التوريد جارٍ حاليًا، وقد تم اختراق حساب NPM لمطور معروف. لقد تم تنزيل الحزم المتأثرة أكثر من مليار مرة، مما يعني أن نظام جاڤا سكريبت البيئي بالكامل قد يكون في خطر."
أضاف غيليميت: "يعمل الرمز الضار عن طريق التلاعب بهدوء بعناوين العملات المشفرة في الخلفية لسرقة الأموال. إذا كنت تستخدم محفظة أجهزة، يرجى التحقق بعناية من كل معاملة موقعة وستكون في أمان. إذا لم تكن تستخدم محفظة أجهزة، يرجى تجنب إجراء أي معاملات على السلسلة في الوقت الحالي. ليس من الواضح ما إذا كان المهاجمون يسرقون مباشرة العبارات المونيمية لمحافظ البرامج."
ماذا حدث؟
وفقًا لتقرير الأمان الذي استشهد به غيليم، كانت السبب المباشر وراء هذه الحادثة هو اختراق حساب NPM للمطور المعروف @qix، مما أدى إلى إصدار نسخ ضارة من العشرات من حزم البرمجيات، بما في ذلك chalk و strip-ansi و color-convert. قد يكون الكود الضار قد انتشر إلى الطرفية عندما قام المطورون أو المستخدمون بتثبيت التبعيات تلقائيًا.
ملاحظة Odaily: بيانات التحميل الأسبوعية لحزم البرمجيات المهددة.
باختصار، هذه حالة كلاسيكية من هجوم سلسلة التوريد - هجوم يقوم فيه المهاجم بإدخال تعليمات برمجية خبيثة ( مثل حزم NPM) في أدوات التطوير أو أنظمة الاعتماد. NPM، اختصار لمدير حزم Node، هو أداة إدارة الحزم الأكثر شيوعًا في نظام JavaScript/Node.js. تشمل وظائفه الرئيسية إدارة الاعتماد، وتثبيت وتحديث الحزم، ومشاركة الشيفرة.
نظام NPM البيئي ضخم للغاية، حيث يتوفر حاليًا ملايين حزم البرمجيات. تعتمد تقريبًا جميع مشاريع Web3، والمحافظ الرقمية، وأدوات الواجهة الأمامية على NPM. بالضبط لأن NPM يعتمد على عدد كبير من التبعيات والروابط المعقدة، فإنه نقطة دخول عالية المخاطر لهجمات سلسلة التوريد. طالما أن المهاجم يزرع شفرة خبيثة في حزمة برمجيات مستخدمة بشكل شائع، فقد يؤثر ذلك على آلاف التطبيقات والمستخدمين.
كما هو موضح في مخطط تدفق انتشار الشيفرة الخبيثة أعلاه:
مشروع معين (blue box) سيعتمد مباشرة على بعض المكتبات المفتوحة المصدر الشائعة، مثل express.
تعتمد هذه التبعيات المباشرة (الصناديق الخضراء) بدورها على تبعيات غير مباشرة أخرى (الصناديق الصفراء، مثل lodash).
إذا تم زرع اعتماد غير مباشر سراً برمز خبيث (الصندوق الأحمر) من قبل مهاجم، فسيدخل المشروع على طول سلسلة الاعتماد.
ماذا يعني هذا للعملات المشفرة؟
ترتبط الأهمية المباشرة لهذا الحادث الأمني بصناعة العملات المشفرة في حقيقة أن الشيفرة الخبيثة التي زرعها المتسللون في حزمة البرمجيات الملوثة المذكورة أعلاه هي "خاطف حافظة العملات المشفرة" متطور يسرق الأصول المشفرة عن طريق استبدال عناوين المحافظ واختطاف المعاملات.
شرح مؤسس Stress Capital GE (@GuarEmperor) هذا بمزيد من التفصيل على X. يستخدم "خاطف الحافظة" الذي حقنه القراصنة وضعين للهجوم: الوضع السلبي يستخدم "خوارزمية مسافة ليفنشتاين" لاستبدال عنوان المحفظة، وهو ما يصعب اكتشافه بشدة بسبب تشابهه البصري؛ الوضع النشط يكشف المحفظة المشفرة في المتصفح ويعبث بالعنوان المستهدف قبل أن يقوم المستخدم بتوقيع المعاملة.
نظرًا لأن هذا الهجوم يستهدف مكتبات الطبقة الأساسية لمشاريع JavaScript، فقد تتأثر حتى المشاريع التي تعتمد بشكل غير مباشر على هذه المكتبات.
كم هي أرباح القراصنة؟
الكود الخبيث الذي زرعه القراصنة كشف أيضًا عن عنوان هجماتهم. عنوان الهجوم الرئيسي للقراصنة على إيثيريوم هو 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976، والأموال تأتي بشكل رئيسي من العناوين الثلاثة التالية:
0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240
x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B
0x30F895a2C66030795131FB66CBaD6a1f91461731
أنشأت Arkham صفحة تتبع لهذا الهجوم، حيث يمكن للمستخدمين التحقق من أرباح المخترق وحالة التحويل في الوقت الفعلي.
اعتبارًا من هذا المنشور، حقق القراصنة ربحًا قدره 496 دولارًا فقط من الهجوم، ولكن بالنظر إلى أن مدى انتشار الشيفرة الخبيثة لم يتم تحديده بعد، من المتوقع أن يستمر هذا الرقم في الارتفاع. تم إبلاغ المطور الآن وهو يعمل بنشاط مع فريق أمان NPM لحل المشكلة. لقد تمت إزالة الشيفرة الخبيثة الآن من معظم الحزم المتأثرة، لذا فإن الوضع تحت السيطرة.
كيف تتجنب المخاطر؟
قال مؤسس Defillama @0xngmi يو إكس إنه على الرغم من أن هذه الحادثة تبدو خطيرة، إلا أن الأثر الفعلي ليس مبالغاً فيه - لأن هذه الحادثة ستؤثر فقط على المواقع التي قامت بدفع تحديثات منذ إصدار حزمة NPM المخترقة، وستستمر المشاريع الأخرى في استخدام النسخة القديمة؛ ومعظم المشاريع ستقوم بإصلاح اعتماداتها، لذا حتى لو قامت بدفع تحديثات، ستستمر في استخدام الشيفرة الأمنية القديمة.
ومع ذلك، نظرًا لأن المستخدمين لا يمكنهم حقًا معرفة ما إذا كان المشروع لديه تبعيات ثابتة أو ما إذا كانت لديه بعض التبعيات التي يتم تنزيلها ديناميكيًا، يُطلب من طرف المشروع حاليًا إجراء تفتيش ذاتي والإفصاح عن ذلك أولاً.
اعتبارًا من هذا المنشور، أفادت مشاريع متعددة للمحافظ أو التطبيقات، بما في ذلك MetaMask وPhantom وAave وFluid وJupiter، بأنها ليست متأثرة بهذا الحادث. لذلك، من الناحية النظرية، يمكن للمستخدمين استخدام المحافظ الآمنة المؤكدة للوصول إلى البروتوكولات الآمنة المؤكدة بأمان. ومع ذلك، بالنسبة للمحافظ أو المشاريع الأخرى التي لم تقدم بعد إفصاحات أمنية، قد يكون من الأفضل تجنب استخدامها مؤقتًا.
〈بين عشية وضحاها، "هجمات سلسلة التوريد" هيمنت على العناوين: ماذا حدث؟ كيف يمكننا تقليل المخاطر؟〉 هذه المقالة نُشرت لأول مرة في "CoinRank".