بدافزار در بسته‌های متن‌باز؛ سرقت اطلاعات کیف‌پول‌های رمزارزی

کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی یک حمله جدید زنجیره تأمین خبر داده‌اند که با سوءاستفاده از بسته‌های معتبر در مخازن npm و PyPI، توسعه‌دهندگان و کاربران حوزه رمزارز را هدف قرار داده است.

به گزارش کمیته رکن چهارم، در این حمله نسخه‌های آلوده‌ای از دو بسته مرتبط با پروتکل dYdX منتشر شده است. بسته @dydxprotocol/v4-client-js در npm و dydx-v4-client در PyPI در برخی نسخه‌ها حاوی کد مخرب بوده‌اند که برای سرقت اطلاعات کیف‌پول‌های رمزارزی و اجرای کد از راه دور استفاده می‌شده است.

نسخه‌های آلوده شناسایی‌شده در npm شامل ۳٫۴٫۱، ۱٫۲۲٫۱، ۱٫۱۵٫۲ و ۱٫۰٫۳۱ بوده و نسخه آلوده PyPI با شناسه ۱٫۱٫۵post1 منتشر شده است. این بسته‌ها به توسعه‌دهندگان امکان تعامل با پروتکل dYdX را می‌دهند و در عملیات حساسی مانند امضای تراکنش‌ها و مدیریت کیف‌پول‌ها به کار می‌روند.

بررسی‌ها نشان می‌دهد در نسخه npm، بدافزار با هدف سرقت عبارات بازیابی و اطلاعات دستگاه طراحی شده، در حالی که نسخه PyPI علاوه بر سرقت داده‌های رمزارزی، شامل تروجان دسترسی از راه دور است که پس از ایمپورت بسته اجرا می‌شود و با یک سرور خارجی برای دریافت دستورات ارتباط برقرار می‌کند.

شواهد موجود حاکی از آن است که نسخه‌های مخرب با استفاده از اعتبارنامه‌های انتشار قانونی منتشر شده‌اند که احتمال به‌خطر افتادن حساب توسعه‌دهنده را تقویت می‌کند. پلتفرم dYdX پس از افشای این رخداد، وقوع حادثه را تأیید و از کاربران خواست سیستم‌های مشکوک را ایزوله کرده، دارایی‌ها را به کیف‌پول‌های جدید منتقل کنند و کلیدهای دسترسی خود را تغییر دهند. این پلتفرم همچنین اعلام کرد نسخه‌های موجود در مخزن رسمی GitHub آن آلوده نبوده‌اند.

این رخداد در ادامه زنجیره‌ای از حملات پیشین علیه اکوسیستم dYdX رخ داده و بار دیگر ریسک فزاینده حملات زنجیره تأمین در مخازن متن‌باز را برجسته می‌کند؛ حملاتی که با سوءاستفاده از اعتماد توسعه‌دهندگان، می‌توانند در مقیاس گسترده کاربران را در معرض خطر قرار دهند.