مایکروسافت هشدار داده است که مهاجمان بدافزار سرقت‌کننده رمزارز را در بسته‌های عمومی npm پنهان کرده‌اند و این امر خطر جدیدی را برای توسعه‌دهندگان، سرمایه‌گذاران رمزارز و کاربران کیف پول ایجاد کرده است.

مایکروسافت بسته‌های npm آلوده را پرچم‌گذاری می‌کند

تیم اطلاعات تهدید مایکروسافت (Microsoft Threat Intelligence) اعلام کرد که دو بسته npm به خطر افتاده، [email protected] و [email protected]، از "مخازن Hugging Face به عنوان زیرساخت استخراج داده سوءاستفاده می‌کردند." این شرکت گفت که این بسته‌ها یک تروجان دسترسی از راه دور (RAT) را مستقر می‌کنند که می‌تواند فشردن کلیدها، اسکرین‌شات‌ها و اطلاعات اعتباری کیف پول رمزارز را جمع‌آوری کند.

Npm یک رجیستری نرم‌افزاری عمومی است که توسط توسعه‌دهندگان جاوا اسکریپت برای ساخت برنامه‌ها و ابزارهای وب استفاده می‌شود. هنگامی که یک توسعه‌دهنده یک بسته آلوده را نصب می‌کند، بدافزار می‌تواند به آرامی روی دستگاه اجرا شود و فایل‌های حساس، رمزهای عبور یا داده‌های کیف پول را زیر نظر بگیرد.

مسیر Hugging Face خطر شناسایی را افزایش می‌دهد

این کمپین به دلیل استفاده مهاجمان از Hugging Face، یک پلتفرم قابل اعتماد برای پروژه‌های هوش مصنوعی و یادگیری ماشین، برای انتقال داده‌های سرقت شده، برجسته است. این مسیر می‌تواند باعث شود که ترافیک کمتر از یک لینک مستقیم به یک سرور مجرمانه ناشناس، مشکوک به نظر برسد.

برای کاربران رمزارز، این امر یک نگرانی امنیتی مستقیم ایجاد می‌کند. یک دستگاه توسعه‌دهنده ممکن است کیف پول‌های مرورگر، کلیدهای خصوصی، فایل‌های عبارت بازیابی (seed phrase)، کلیدهای API صرافی، توکن‌های گیت‌هاب و لاگین‌های ابری را ذخیره کند. اگر مهاجمان این جزئیات را جمع‌آوری کنند، می‌توانند کیف پول‌ها، مخازن کد و سیستم‌های معاملاتی را هدف قرار دهند.

حملات گسترده‌تر به توسعه‌دهندگان

پوشش خبری مرتبط Crypto.news نشان می‌دهد که حملات زنجیره تأمین نرم‌افزار همچنان یک مشکل جاری برای بخش رمزارز است. گزارشی در تاریخ ۲۵ مه اعلام کرد که کمپین بدافزار TrapDoor از طریق بیش از ۳۴ بسته مخرب در اکوسیستم‌های npm، PyPI و Rust گسترش یافته است.

این کمپین توسعه‌دهندگان رمزارز و هوش مصنوعی را با سرقت داده‌های کیف پول، کلیدهای API، اطلاعات اعتباری ابری و دسترسی SSH از طریق ابزارهای توسعه‌دهنده جعلی هدف قرار داد. همچنین نشان داد که مهاجمان اکنون افراد و سیستم‌هایی را که برای ساخت برنامه‌های رمزارز استفاده می‌شوند، نه فقط کاربران نهایی، هدف قرار می‌دهند.

Crypto.news همچنین در ماه مارس گزارش داد که Slow Fog به توسعه‌دهندگان در مورد نسخه‌های مخرب Axios هشدار داده بود. نسخه‌های آلوده، بدافزار plain-crypto-js را وارد می‌کردند و توسعه‌دهندگان رمزارز را در معرض RATهای چند پلتفرمی و اطلاعات اعتباری سرقت شده از طریق npm قرار می‌دادند.

کریپتوجکینگ یک هشدار دیگر مایکروسافت را اضافه می‌کند

هشدار مایکروسافت به دنبال گزارش بدافزار دیگری از تیم‌های امنیتی این شرکت منتشر شد. در ۲۶ مه، مایکروسافت اعلام کرد که مهاجمان از نتایج جستجوی آلوده و برخی تعاملات چت‌بات هوش مصنوعی برای گسترش دانلودهای ابزار کاربردی جعلی برای رایانه استفاده کرده‌اند که بدافزار استخراج (ماینینگ) GPU را نصب می‌کرد.

این کمپین کاربران دارای کارت‌های گرافیک قدرتمند، از جمله گیمرها و علاقه‌مندان به سخت‌افزار را هدف قرار می‌داد. مایکروسافت گفت که این بدافزار از ScreenConnect، ابزارهای Microsoft .NET و دانلودهای جعلی برای ابزارهایی مانند CrystalDiskInfo و HWMonitor برای اجرای ماینرهای رمزارز سوءاستفاده کرده است.

آخرین هشدار npm توجه را به گام‌های امنیتی اولیه جلب می‌کند. توسعه‌دهندگان باید نصب‌های اخیر بسته را ممیزی کنند، وابستگی‌های مشکوک را حذف کنند، اطلاعات اعتباری در معرض خطر را تغییر دهند و فعالیت کیف پول را بررسی کنند. کاربران رمزارز باید از ذخیره عبارت بازیابی در دستگاه‌های متصل خودداری کرده و هر تراکنش کیف پول را قبل از امضا تأیید کنند.