أدى هجوم سلسلة التوريد للخطر الرسمي لدفتر الأستاذ XRP JavaScript SDK ، حيث حقن الباب الخلفي في إصدارات محددة من NPM. استهدف الباب الخلفي في إصدارات NPM محددة سرقة المفتاح الخاص ، مما يعرض محافظ XRP المتصلة للخطر.
أصدرت Slowmist تنبيهًا عاليًا يحث على التحديثات الفورية وتناوب بيانات الاعتماد.
كيف ضرب الرمز الضار NPM
تركز الهجوم حول حزمة XRPL NPM ، التي يستخدمها المطورون للتفاعل مع Blockchain Ledger XRP. بين 21 أبريل في 20:53 بتوقيت جرينتش+0 و 22 أبريل ، تم نشر إصدارات ضارة من 4.2.1 إلى 4.2.4 و 2.14.2 إلى NPM تحت اسم حزمة شرعية.
ومع ذلك ، قام مستخدم غير مصرح به ، “Mukulljangid” صنع هذه الإصدارات. تضمنت هذه الإصدارات رمزًا يمكن أن يسرق المفاتيح الخاصة من محافظ التشفير.
على عكس التحديثات القياسية ، لم تتم عكس هذه الإصدارات على مستودع GitHub الرسمي ، مما دفع أعلام حمراء داخل مجتمع الأمن. حددت Aikido ، وهي منصة مراقبة سلسلة توريد البرمجيات ، أولاً النشاط المشبوه ونشرت نتائجها في 21 أبريل.
كيف عمل الباب الخلفي
يعمل الباب الخلفي الذي يتم تشغيله عن طريق إدخال وظيفة عن بُعد متصلة بمجال مشبوه: 0x9C (.) XYZ. بمجرد النشاط ، يمكن أن يستخرج البيانات الحساسة ، بما في ذلك المفاتيح الخاصة ، وإرسالها خارجيًا. تجاوز الكود فحوصات الأمن التقليدية من خلال إخفاء مكتبات البرامج الموثوقة ، وفضح مجموعة واسعة من التطبيقات والمستخدمين للمخاطرة.
تم بالفعل تنزيل الإصدارات المتأثرة آلاف المرات قبل الاكتشاف. بالنظر إلى أن الحزمة تشهد أكثر من 140،000 تنزيل أسبوعيًا ، فقد يكون لانتهاك قد أثر على العديد من التطبيقات التي تركز على التشفير.
تم نصح الإصلاحات الصادرة ، الإجراءات العاجلة
استجاب فريق تطوير دفتر الأستاذ XRP عن طريق إزالة الإصدارات الضارة ونشر الإصدارات المصححة: 4.2.5 و 2.14.3.
حث Aikido المطورين على اتخاذ إجراءات فورية لحماية أنظمتهم وبيانات المستخدم. أولاً ، يجب عليهم الترقية إلى الإصدارات المصححة من حزمة Ledger XRP ، والتي أزالت الرمز الضار.
من الأهمية بمكان تجنب تثبيت أو استخدام أي إصدارات معرضة للخطر لأنها تحتوي على أجهزة خلفية قادرة على سرقة المعلومات الحساسة.
بالإضافة إلى ذلك ، يجب على المطورين تدوير أي مفاتيح أو أسرار خاصة ربما تم تعرضها خلال الفترة التي كانت هذه الإصدارات قيد الاستخدام. أخيرًا ، يجب مراقبة الأنظمة بعناية لأي حركة مرور صادرة مشبوهة ، وخاصة الاتصالات بالمجال 0x9C (.) XYZ ، والتي تم ربطها بالنشاط الضار.
أكد Slowmist على أن المطورين الذين يستخدمون الإصدارات السابقة (Pre-4.2.1 أو Pre-2.14.2) يجب ألا يتراجعوا مباشرة إلى الإصدارات المصابة. بدلاً من ذلك ، يجب أن يتخطوا مباشرة إلى الإصدارات النظيفة.
تنصل: المعلومات المقدمة في هذه المقالة هي لأغراض إعلامية وتعليمية فقط. المقالة لا تشكل نصيحة مالية أو نصيحة من أي نوع. Edition Coin ليست مسؤولة عن أي خسائر تكبدها نتيجة لاستخدام المحتوى أو المنتجات أو الخدمات المذكورة. يُنصح القراء بممارسة الحذر قبل اتخاذ أي إجراء يتعلق بالشركة.
