قال باحثون في مجال أمن الصناعة إن القراصنة لم يتمكنوا سوى من سرقة ما قيمته 50 دولاراً من العملات المشفرة جراء هجوم ضخم على سلسلة التوريد استهدف مكتبات JavaScript البرمجية.
منصة الاستخبارات الأمنية Security Alliance نشرت النتائج يوم الاثنين بعد أن تمكن القراصنة من اختراق حساب أحد مطوري NPM المعروفين وأدخلوا برمجيات خبيثة إلى مكتبات جافاسكريبت شائعة تم تنزيلها بالفعل أكثر من مليار مرة، مما قد يعرّض عدداً لا يُحصى من مشاريع الكريبتو للخطر. وأكدت المنصة أن محافظ إيثريوم وسولانا كانت مستهدفة بشكل خاص.
ولحسن الحظ، لم تتم سرقة أكثر من 50 دولاراً حتى الآن من قطاع الكريبتو، بحسب شركة الأمن، التي حدّدت عنوان محفظة إيثريوم 0xFc4a48 باعتباره العنوان الخبيث الوحيد حتى الآن. وجاء في منشور لها على منصة X:
"تخيل هذا: أنت تخترق حساب مطور NPM يتم تنزيل حِزَمه البرمجية أكثر من ملياري مرة أسبوعياً. يمكنك الوصول بحرية إلى ملايين أجهزة المطورين. ثروات لا تُحصى في انتظارك. العالم بين يديك. ثم تحقق ربحاً أقل من 50 دولاراً".
وقال الباحث الأمني المجهول سامكزسن (Samczsun) من فريق SEAL في تصريح منفصل لـCointelegraph:
"لم يستفد المخترق بالكامل من حجم الوصول الذي كان لديه. إنه أشبه بمن يجد بطاقة دخول إلى Fort Knox ويستخدمها كإشارة كتاب. صحيح أن البرمجيات الخبيثة انتشرت على نطاق واسع، لكنها باتت الآن شبه مُحيدة بالكامل".
مع ذلك، ارتفع الرقم من خمسة سنتات إلى 50 دولاراً في غضون ساعات قليلة، ما يشير إلى أن الضرر المحتمل قد لا يكون قد تكشّف بالكامل بعد.
سرقة كمية صغيرة من ETH والميم كوين
قالت Security Alliance إن الخمسة سنتات المسروقة كانت من عملة إيثر (ETH)، في حين تم الاستيلاء على ما يقارب 20 دولاراً من عملة ميم كوين.
وتُظهر بيانات Etherscan أن العنوان الخبيث تلقى حتى الآن عملات ميم مثل: Brett المُرمزة (BRETT)، وAndy المُرمزة (ANDY)، وDork Lord المُرمزة (DORK)، وEthervista المُرمزة (VISTA)، وGondola المُرمزة (GONDOLA).
مشاريع كريبتو لم تقم بتنزيل مكتبات NPM قد تكون معرضة للخطر
استهدف الاختراق حزماً مثل chalk وstrip-ansi وcolor-convert وهي أدوات صغيرة مدفونة عميقاً في أشجار الاعتماد داخل عدد لا يُحصى من المشاريع. وحتى المطورين الذين لم يقوموا بتثبيتها بشكل مباشر قد يكونون عرضة للخطر.
تُعد NPM بمثابة متجر تطبيقات للمطورين مكتبة مركزية يشاركون فيها ويحمّلون حِزَماً برمجية صغيرة لبناء مشاريع جافاسكريبت.
ويبدو أن المهاجمين زرعوا نوعاً من البرمجيات الخبيثة يُعرف باسم crypto-clipper، والذي يقوم سراً باستبدال عناوين المحافظ أثناء المعاملات لتحويل الأموال.
وكان شارل غيوميه، المدير التقني لشركة Ledger، من بين العديد ممن دعوا مستخدمي الكريبتو إلى توخي الحذر عند تأكيد المعاملات على السلسلة.
Ledger وMetaMask بين التطبيقات غير المتأثرة
أكّد مزودو محافظ الكريبتو Ledger وMetaMask أن منصاتهم آمنة من هذا الهجوم على NPM، مشيرين إلى "طبقات متعددة من الدفاع" تحميهم من مثل هذه الاختراقات.
كما قالت شركة Phantom Wallet إنها لا تستخدم أي نسخ ضعيفة من الحزم المصابة، فيما أوضحت Uniswap أن أياً من تطبيقاتها غير معرض للخطر.
وشملت المنصات الأخرى التي أكدت عدم تأثرها بالهجوم كلاً من: Aerodrome وBlast وBlockstream Jade وRevoke.cash.
مؤسس DefiLlama: لن تُستنزف أموالك فوراً
قال 0xngmi، المؤسس المجهول لمنصة التحليلات DefiLlama، إن مشاريع الكريبتو التي قامت بالتحديث بعد نشر حزمة NPM المصابة فقط قد تكون معرضة للخطر. وحتى في هذه الحالات، يتعين على المستخدمين الموافقة على المعاملة الخبيثة كي تنجح.
لكنه أضاف، مثل غيوميه، أنه قد يكون من الأكثر أماناً تجنّب استخدام مواقع الكريبتو مؤقتاً حتى يقوم المطورون وراء هذه المنصات بتنظيف الحزم الملوثة.