کمیته رکن چهارم – محققان امنیت سایبری سه مجموعه از بستههای مخرب را در مخازن npm و PyPI شناسایی کردهاند که با هدف سرقت دادهها و حذف اطلاعات حساس از سیستمهای آلوده طراحی شدهاند. این حملات به طور خاص کاربران کیف پولهای Solana را هدف قرار داده و از پروتکل SMTP سرویس Gmail برای انتقال اطلاعات دزدیدهشده استفاده میکنند.
به گزارش کمیته رکن چهارم، مهاجمان بستههای مخربی را در سایتهای دانلود ابزارهای برنامهنویسی منتشر کردهاند که شبیه به کتابخانهها و ابزارهای شناختهشده طراحی شدهاند. این بستهها شامل نسخههای جعلی ابزارهای پرکاربردی مانند chalk، chokidar و ابزارهای مرتبط با Solana مانند solana-transaction-toolkit هستند. همچنین، یکی از این بستهها با نام pycord-self اطلاعات ورود کاربران به Discord را سرقت کرده و امکان دسترسی مداوم هکرها به حساب آنها را فراهم میکند.
این بستههای مخرب قابلیتهایی مانند سرقت کلیدهای خصوصی کیف پول Solana و حذف تمامی فایلهای پروژه در شرایط خاص را دارند. برای نمونه، بستههای مرتبط با Solana محتویات کیف پول کاربران را تا ۹۸ درصد به آدرسهای تحت کنترل مهاجمان منتقل میکنند. همچنین، برخی نسخههای تقلبی کتابخانه chalk تمامی فایلهای دایرکتوری پروژه را پس از دریافت دستور از سرور حذف میکنند.
مهاجمان این بستههای مخرب را از طریق وبسایتهای اشتراک کد و ابزارهای توسعه، به عنوان برنامهها یا ابزارهای معتبر مرتبط با Solana ارائه کردهاند. آنها با ظاهر فریبنده این ابزارها، توسعهدهندگانی را که به دنبال منابع یا کتابخانههای موردنیاز خود هستند، هدف قرار دادهاند. این روش نشاندهنده تلاش سازمانیافته برای گسترش این حملات در مقیاس وسیع است.
توسعهدهندگان برای پیشگیری از این حملات باید پیش از نصب بستهها، اعتبار آنها را بررسی کرده، دسترسیهای پروژه را محدود کنند و رفتار شبکه را برای شناسایی فعالیتهای مشکوک زیر نظر داشته باشند. همچنین، بهروزرسانی مستمر ابزارهای امنیتی برای شناسایی تهدیدات جدید ضروری است.
