بهروزرسانی 1406/01/10، ساعت 13:28 UTC: این مقاله برای افزودن نظرات عبدالفتاح ابراهیم، مهندس ارشد امنیت تهاجمی در Hacken، بهروزرسانی شده است.
دو انتشار مخرب Axios npm باعث هشدارهایی برای توسعهدهندگان شده است تا اعتبارنامهها را تغییر دهند و سیستمهای آسیبدیده را بهعنوان سیستمهای در معرض خطر تلقی کنند، پس از اینکه یک حمله زنجیره تامین کتابخانه محبوب کلاینت HTTP جاوااسکریپت را مسموم کرد.
این نقض امنیتی ابتدا توسط شرکت امنیت سایبری Socket گزارش شد که اعلام کرد [email protected] و [email protected] برای کشیدن [email protected]، یک وابستگی مخرب که بهطور خودکار در طول نصب اجرا میشد، تغییر یافتهاند، قبل از اینکه انتشارها از npm حذف شوند.
به گفته شرکت امنیتی OX Security، کد تغییر یافته میتواند به مهاجمان دسترسی از راه دور به دستگاههای آلوده بدهد و به آنها اجازه دهد دادههای حساس مانند اعتبارنامههای ورود، کلیدهای API و اطلاعات کیف پول کریپتو را بدزدند.
این حادثه نشان میدهد که چگونه یک جزء منبع باز در معرض خطر میتواند بهطور بالقوه در هزاران برنامهای که به آن وابسته هستند، موج ایجاد کند و نه تنها توسعهدهندگان بلکه پلتفرمها و کاربران متصل به سیستم را نیز در معرض خطر قرار دهد.
شرکتهای امنیتی بر تغییر کلید و ممیزی سیستم تاکید میکنند
OX Security به توسعهدهندگانی که [email protected] یا [email protected] را نصب کردهاند، هشدار داد که سیستمهای خود را بهعنوان کاملاً در معرض خطر تلقی کنند و فوراً اعتبارنامهها، از جمله کلیدهای API و توکنهای نشست را تغییر دهند.
Socket گفت که انتشارهای در معرض خطر Axios برای شامل شدن وابستگی به [email protected]، بستهای که کمی قبل از این حادثه منتشر شد و بعداً بهعنوان مخرب شناسایی شد، تغییر یافتهاند.
مرتبط: افزونه مرورگر Trust Wallet توسط 'باگ' Chrome Store آفلاین شد، مدیرعامل میگوید
شرکت گفت که وابستگی برای اجرای خودکار در طول نصب از طریق یک اسکریپت پس از نصب پیکربندی شده بود و به مهاجمان اجازه میداد کد را در سیستمهای هدف بدون تعامل اضافی کاربر اجرا کنند.
Socket به توسعهدهندگان توصیه کرد که پروژهها و فایلهای وابستگی خود را برای نسخههای آسیبدیده Axios و بسته مرتبط [email protected] بررسی کنند و فوراً هر نسخه در معرض خطر را حذف یا بازگردانی کنند.
عبدالفتاح ابراهیم، مهندس ارشد امنیت تهاجمی در Hacken، به Cointelegraph گفت که این نقض امنیتی میتواند پیامدهای جدی برای برنامههای مرتبط با کریپتو که برای عملیات backend به Axios متکی هستند، داشته باشد.
او گفت: "این خبر بدی برای برنامههای غیرمتمرکز و برنامههایی است که با ارز دیجیتال سر و کار دارند، زیرا Axios نقش بزرگی در فراخوانیهای API ایفا میکند"، و خاطرنشان کرد که سیستمهای آسیبدیده میتوانند شامل ادغامهای صرافی، بررسی موجودی کیف پول و پخش تراکنش باشند.
ابراهیم گفت که بدافزار مستقر شده در این حمله بهعنوان یک تروجان دسترسی از راه دور کامل عمل میکند و به مهاجمان اجازه میدهد مستقیماً با سیستمهای در معرض خطر تعامل داشته باشند. او اضافه کرد که این حادثه ضعف گستردهتری را در نحوه مدیریت خطرات زنجیره تامین برجسته میکند.
حوادث قبلی کریپتو خطرات زنجیره تامین را برجسته میکنند
حوادث قبلی کریپتو نشان دادهاند که چگونه نقضهای زنجیره تامین میتوانند از اطلاعات دزدیده شده توسعهدهندگان به ضررهای کیف پول کاربران تشدید شوند.
در 1404/10/13، محقق آنچین ZachXBT گزارش داد که "صدها" کیف پول در سراسر شبکههای سازگار با ماشین مجازی اتریوم در یک حمله گسترده که مقادیر کمی از هر قربانی سیفون کرد، تخلیه شدند.
محقق امنیت سایبری ولادیمیر اس. گفت که این حادثه بهطور بالقوه به یک نقض در آذر ماه که بر Trust Wallet تأثیر گذاشت و منجر به ضرر تقریباً 7 میلیون دلار در بیش از 2,500 کیف پول شد، مرتبط بود.
Trust Wallet بعداً گفت که این نقض ممکن است از یک نقض زنجیره تامین شامل بستههای npm مورد استفاده در گردش کار توسعه آن سرچشمه گرفته باشد.
مجله: هیچکس نمیداند که آیا رمزنگاری امن کوانتومی حتی کار خواهد کرد یا خیر
منبع: https://cointelegraph.com/news/axios-npm-supply-chain-attack-malicious-dependency?utm_source=rss_feed&utm_medium=feed&utm_campaign=rss_partner_inbound
