کشف پکیج‌های مخرب در npm؛ سرقت کلیدهای خصوصی از توسعه‌دهندگان اتریوم!

پژوهشگران امنیت سایبری مجموعه‌ای از چهار پکیج مخرب در مخزن npm را شناسایی کرده‌اند که با هدف سرقت اطلاعات حساس کیف‌پول‌های رمزارزی توسعه‌دهندگان اتریوم طراحی شده‌اند.

طبق گزارش «Kush Pandya» محقق شرکت Socket، این پکیج‌ها در ظاهر به‌عنوان ابزارهای رمزنگاری و زیرساخت‌های Flashbots MEV معرفی می‌شوند، اما در واقعیت داده‌هایی مانند کلیدهای خصوصی و عبارات بازیابی (Mnemonic Seed) را به یک ربات تلگرام تحت کنترل مهاجم ارسال می‌کنند.

عملکرد مخرب پکیج‌ها علیه توسعه‌دهندگان اتریوم

• @flashbotts/ethers-provider-bundle خطرناک‌ترین پکیج شناسایی‌شده است. این ماژول علاوه بر شبیه‌سازی API رسمی Flashbots، امکان ارسال متغیرهای محیطی (ENV) از طریق SMTP به Mailtrap را فراهم می‌کند. همچنین تراکنش‌های امضا‌نشده را به کیف‌پول مهاجم هدایت کرده و متادیتای تراکنش‌های از پیش امضا‌شده را ذخیره می‌کند.

• sdk-ethers در نگاه اول بی‌ضرر به نظر می‌رسد، اما دو تابع مخفی برای ارسال عبارت بازیابی کاربر به ربات تلگرام دارد که تنها هنگام فراخوانی در پروژه فعال می‌شوند.

• flashbot-sdk-eth نیز مشابه نمونه قبلی، برای سرقت کلیدهای خصوصی طراحی شده است.

• gram-utilz روشی ماژولار برای انتقال داده‌های دلخواه قربانی به تلگرام مهاجم فراهم می‌کند.

با توجه به اینکه عبارت بازیابی (Mnemonic Seed) در حکم «کلید اصلی» کیف‌پول است، افشای آن مساوی با دسترسی کامل مهاجم به دارایی‌های رمزارزی قربانی خواهد بود.

ردپای مهاجمان

وجود کامنت‌های زبان ویتنامی در کد منبع نشان می‌دهد که احتمالاً این کمپین توسط مهاجمانی ویتنامی‌زبان و با انگیزه مالی انجام می‌شود.

Socket هشدار داده است که مهاجمان با سوءاستفاده از اعتماد توسعه‌دهندگان به نام‌هایی آشنا، در حال اجرای حملات زنجیره تأمین نرم‌افزار (Supply Chain Attacks) هستند. ترکیب کدهای سالم و مخرب در یک بسته باعث می‌شود عملکرد بدافزار از چشم بررسی‌های امنیتی دور بماند.

تهدید برای اکوسیستم Web3

«Pandya» تاکید می‌کند:

«از آنجا که Flashbots توسط اعتبارسنج‌ها، جستجوگرها و توسعه‌دهندگان DeFi به‌شدت مورد اعتماد است، هر پکیجی که شبیه SDK رسمی به نظر برسد، احتمال بالایی برای استفاده دارد. نشت یک کلید خصوصی در این شرایط می‌تواند به سرقت فوری و غیرقابل بازگشت دارایی‌ها منجر شود.»

این کشف نشان می‌دهد که حتی توسعه معمولی Web3 نیز می‌تواند در صورت بی‌احتیاطی، به مسیری مستقیم برای مهاجمان و ربات‌های تلگرام آن‌ها تبدیل شود.

جمع‌بندی

کشف این پکیج‌های آلوده بار دیگر ثابت می‌کند که اعتماد کورکورانه به کتابخانه‌های متن‌باز می‌تواند خطرناک باشد. توسعه‌دهندگان اتریوم و دیگر پروژه‌های بلاک‌چینی باید:

• تنها از منابع رسمی و معتبر استفاده کنند.

• کدهای ناشناخته را به دقت بررسی کنند.

• و همواره مراقب درخواست‌های غیرعادی از سوی پکیج‌ها باشند.

امنیت زنجیره تأمین نرم‌افزار یکی از حساس‌ترین بخش‌های اکوسیستم Web3 است و بی‌توجهی به آن می‌تواند منجر به خسارت‌های سنگین مالی شود.

منابع: