حمله به زنجیره تامین Axios برنامه‌های کریپتو را در معرض خطر قرار می‌دهد

یک حمله جدی زنجیره تامین به Axios، یکی از پرکاربردترین ابزارها در توسعه وب، وارد شده است. محققان امنیتی از Socket Security کشف کردند که هکرها بدافزار را در نسخه‌های خاصی از این کتابخانه که در npm منتشر شده‌اند، تزریق کرده‌اند.

این حمله می‌تواند میلیون‌ها اپلیکیشن کریپتو را تحت تأثیر قرار دهد. این شامل بسیاری از پلتفرم‌های ارز دیجیتال است که برای اتصال به سرورها به Axios متکی هستند. از آنجا که Axios در سیستم‌های بسیار زیادی استفاده می‌شود، خطر گسترده و فوری است. نسخه‌های تحت تأثیر شامل axios@1.14.1 و axios@0.30.4 می‌شوند. توسعه‌دهندگانی که این نسخه‌ها را نصب کرده‌اند ممکن است ناخواسته سیستم‌های خود را در معرض خطر قرار داده باشند.

چگونه این حمله رخ داد؟

این حمله از یک باگ ساده ناشی نشد. در عوض، هکرها از روش زنجیره تامین استفاده کردند. این بدان معناست که آنها خود فرآیند توزیع نرم‌افزار را هدف قرار دادند. در این مورد، مهاجمان یک بسته مخرب به نام "plain-crypto-js@4.2.1" را به عنوان یک وابستگی پنهان اضافه کردند. این بسته قبلاً بخشی از Axios نبود. شخصی آن را به طور پنهانی در طول انتشار وارد کرد.

حتی نگران‌کننده‌تر اینکه، این انتشار از فرآیند عادی Axios پیروی نکرد. در تگ‌های رسمی GitHub ظاهر نشد. این نشان می‌دهد که مهاجم دسترسی غیرمجاز به سیستم انتشار به دست آورده است. گزارش‌ها نشان می‌دهند که یک حساب کاربری نگهدارنده ممکن است به خطر افتاده باشد. این به مهاجم اجازه داد که نسخه آلوده را مستقیماً به npm منتقل کند.

بدافزار چه کاری می‌تواند انجام دهد؟

بدافزار بی‌ضرر نیست. یک ابزار دسترسی از راه دور، که به عنوان RAT نیز شناخته می‌شود، نصب می‌کند. پس از ورود به سیستم، می‌تواند دستورات را اجرا کند، داده‌ها را جمع‌آوری کند و به سرورهای خارجی متصل شود. در macOS، Windows و Linux کار می‌کند. این حمله همچنین برای پنهان کردن خود طراحی شده است. در طول نصب اجرا می‌شود و سپس ردپای فعالیت خود را حذف می‌کند. این امر تشخیص آن را سخت‌تر می‌کند. با این وجود، حتی توسعه‌دهندگان ممکن است متوجه نشوند که سیستم آنها تحت تأثیر قرار گرفته است.

چرا پروژه‌های کریپتو در معرض خطر هستند؟

اپلیکیشن‌های ارز دیجیتال اغلب برای ارسال و دریافت داده‌ها به ابزارهایی مانند Axios متکی هستند. این شامل سرویس‌های کیف پول، صرافی‌ها و اپلیکیشن‌های غیرمتمرکز می‌شود. اگر این اپلیکیشن‌ها از نسخه‌های تحت تأثیر استفاده کنند، مهاجمان می‌توانند به داده‌های حساس دسترسی پیدا کنند. این ممکن است شامل کلیدهای خصوصی، توکن‌های API یا اطلاعات کاربر باشد.

از آنجا که بسیاری از پروژه‌ها از به‌روزرسانی‌های خودکار استفاده می‌کنند، برخی ممکن است بدون اطلاع نسخه به خطر افتاده را نصب کرده باشند. این وضعیت را جدی‌تر می‌کند. این حمله همچنین نشان می‌دهد که چگونه یک نقطه ضعف می‌تواند بر بسیاری از سیستم‌ها به طور همزمان تأثیر بگذارد.

توسعه‌دهندگان اکنون چه باید بکنند؟

کارشناسان امنیت از توسعه‌دهندگان می‌خواهند که به سرعت اقدام کنند. ابتدا، تمام وابستگی‌ها و فایل‌های قفل را بررسی کنید. به دنبال نسخه‌های تحت تأثیر Axios و بسته مخرب باشید. در صورت یافتن، فوراً آنها را حذف کنید. سپس، به نسخه امن Axios تغییر دهید.

همچنین بررسی سیستم‌ها برای فعالیت‌های غیرعادی مهم است. تیم‌های امنیت باید هر نشانه‌ای از دسترسی غیرمجاز را با دقت بررسی کنند. رجیستری npm نسخه‌های مضر را حذف کرده است. اما این حادثه هنوز در حال بررسی است. این حمله یک یادآوری واضح است. حتی ابزارهای قابل اعتماد می‌توانند هدف قرار گیرند. در فضایی پرسرعت مانند کریپتو، هوشیار ماندن دیگر اختیاری نیست.

پست حمله زنجیره تامین Axios اپلیکیشن‌های کریپتو را در معرض خطر قرار می‌دهد ابتدا در Coinfomania ظاهر شد.