Cointelegraph#Injective#امنیت_کریپتو#npm#supply_chain_attack#کیف‌پول

تلاش هکرها برای نفوذ به پکیج npm اینجکتیو و سرقت کلیدهای کیف‌پول

۱۹ تیر ۱۴۰۵
تلاش هکرها برای نفوذ به پکیج npm اینجکتیو و سرقت کلیدهای کیف‌پول

هکرها تلاش کردند پکیج npm اینجکتیو را آلوده کنند تا کلیدهای خصوصی کیف‌پول‌های کریپتو را به سرقت ببرند.

هکرها در یک حمله زنجیره تأمین نرم‌افزاری، تلاش کردند تا بدافزاری را در پکیج npm رسمی پروتکل اینجکتیو (Injective) جاسازی کنند. هدف از این حمله، سرقت کلیدهای خصوصی کیف‌پول کاربران و توسعه‌دهندگانی بود که از این کتابخانه در پروژه‌های خود استفاده می‌کنند. بر اساس گزارش کوین‌تلگراف، مهاجمان با نفوذ به زنجیره توزیع پکیج، کدی مخرب را در نسخه‌ای از این کتابخانه قرار دادند که در صورت نصب توسط توسعه‌دهندگان، می‌توانست کلیدهای خصوصی کیف‌پول‌ها را استخراج و به سرور مهاجمان ارسال کند. این نوع حمله که به «حمله زنجیره تأمین» (Supply Chain Attack) معروف است، یکی از خطرناک‌ترین روش‌های نفوذ در اکوسیستم نرم‌افزاری است، چراکه حتی کاربرانی که احتیاط می‌کنند نیز در معرض خطر قرار می‌گیرند. اینجکتیو یک پروتکل بلاکچین لایه یک مبتنی بر Cosmos است که روی حوزه‌های مالی غیرمتمرکز (DeFi) تمرکز دارد و پکیج npm آن توسط توسعه‌دهندگانی که قراردادهای هوشمند یا اپلیکیشن‌های وب‌ری را بر روی این شبکه می‌سازند، مورد استفاده قرار می‌گیرد. این حادثه بار دیگر نگرانی‌های جدی درباره امنیت اکوسیستم npm در حوزه کریپتو را برجسته می‌کند. پیش از این نیز حملات مشابهی به پکیج‌های محبوب کریپتو از جمله پکیج‌های مرتبط با Solana و سایر پروتکل‌ها صورت گرفته بود. توسعه‌دهندگانی که از این کتابخانه استفاده می‌کنند باید فوراً نسخه نصب‌شده را بررسی کرده و در صورت استفاده از نسخه آلوده، کلیدهای خصوصی خود را به‌عنوان فاش‌شده تلقی کنند و هرچه سریع‌تر دارایی‌های خود را به کیف‌پول‌های جدید منتقل نمایند. تیم امنیتی اینجکتیو اعلام کرده که موضوع را بررسی کرده و نسخه پاکسازی‌شده منتشر شده است.
تلاش هکرها برای نفوذ به پکیج npm اینجکتیو و سرقت کلیدهای کیف‌پول | اخبار تریدیار | تریدیار