مستخدمي العملات الرقمية في خطر بعد استغلال الهاكرز لمكتبات NPM JavaScript

قام القراصنة بالسيطرة على حزم NPM الشهيرة عن طريق حقنها برمز خبيث، سرقة أموال العملات المشفرة من مليارات المستخدمين الذين قاموا بتحميل الحزم المتأثرة.

تعرض نظام Node Package Manager (NPM) لأكبر هجوم سلسلة التوريد في تاريخه، كما أفادت في البداية Bleeping Computer (BC). قام القراصنة بتضمين البرامج الضارة في مكتبات JavaScript الشائعة، التي يقوم المستخدمون بتنزيلها بمليارات المرات كل أسبوع..

استخدم المهاجمون رسائل الدعم الوهمية لـ NPM لإرسال تنبيهات زائفة لمشغلي الحزم، مما دفعهم لتحديث التوثيق الثنائي العوامل الخاص بهم.

أكد جوش جونون (qix)، أحد المشغلين المستهدفين، الهجوم الاحتيالي، مشيراً إلى أنه جاء من نطاق وهمي، ‘npmjs[.]help’. قام المهاجمون بإدخال رمز ضار في ثلاث حزم مستخدمة على نطاق واسع، التي تتلقى معا أكثر من 2.6 مليار تنزيل أسبوعيا: الطباشير، strip-ansi، وdebug.

توضح CoinTelegraph أن البرنامج الخبيث يعمل كمقصّ للعملات المشفرة، حيث يراقب المعاملات عبر متصفح الويب لعناوين العملات المشفرة ويستبدلها بعناوين تحت سيطرة المهاجم.

“تم تحديث الحزم لتحتوي على قطعة من الكود سيتم تنفيذها على عميل موقع ويب، والتي تعترض بصمت النشاط المشفر وweb3 في المتصفح، وتتلاعب بتفاعلات المحفظة، وتعيد كتابة وجهات الدفع”، هكذا أوضحت تشارلي إريكسن من Aikido Security، كما أفادت BC.

أضاف قائلاً: “ما يجعلها خطيرة هو أنها تعمل على طبقات متعددة: تغيير المحتوى المعروض على المواقع الإلكترونية، التلاعب بنداءات API، وت manipيل ديما يعتقدون المستخدمون أنهم يوقعون عليه في تطبيقاتهم”.

تشير CoinTelegraph إلى أن الهجوم يستهدف بشكل خاص المستخدمين الذين قاموا بتثبيت أو تحديث الحزم المخترقة من خلال التطبيقات الويب. يظل المطورون الذين يستخدمون الإصدارات القديمة المثبتة محميين، ولكن المستخدمين الذين يعتمدون على محافظ البرمجيات الأحدث واحدة يواجهون أكبر خطر.

تقدم المحافظ الصلبة التي تتطلب التحقق اليدوي من المعاملات أقوى حماية للأمان.

يقول BC إن NPM قد أزال بعض النسخ الخبيثة، بما في ذلك حزمة التصحيح، التي تم تحميلها 357.6 مليون مرة في الأسبوع. ينصح خبراء الأمن المستخدمين بالتعامل بحذر مع المعاملات الرقمية المشفرة حتى يكتمل تحديث الأمان الكامل لجميع الحزم المتأثرة.