Արագ Ընթերցում
- Հսկայական հարձակում խախտել է 18 npm փաթեթ՝ 2 միլիարդ շաբաթական ներբեռնումով։
- Վնասակար ծրագիրը գաղտնի վերահասցեավորում է կրիպտո գործարքները հարձակվողներին։
- Ledger-ի ՏՏ տնօրենը խորհուրդ է տալիս խուսափել բլոկչեյն գործարքներից և օգտագործել ֆիզիկական դրամապանակներ։
- Մշակողները պետք է անհապաղ վերանայեն կախվածությունները և վերադառնան անվտանգ տարբերակներին։
- Խախտումը ընդգծում է գլոբալ ծրագրային շղթայի համակարգային խոցելիությունները։
Կրիպտոարժույթի աշխարհը բախվել է իր պատմության ամենամեծ կիբերանվտանգության խախտումներից մեկին։ 2025 թվականի սեպտեմբերի 8-ին, մի քանի անվտանգության փորձագետներ բացահայտեցին npm JavaScript փաթեթների վրա մեծամասշտաբ մատակարարման շղթայի հարձակումը, որը հիմնարար է բազմաթիվ հավելվածների և ծառայությունների համար։ Այս խախտումը ոչ միայն ցնցեց կրիպտո համայնքը, այլև ընդգծեց գլոբալ ծրագրային ապահովման շղթայի խոցելիությունները։
Ինչպե՞ս է տեղի ունեցել հարձակումը
Հարձակման կենտրոնում գտնվում է Qix անունով հայտնի հեղինակավոր մշակողի npm հաշվի խախտումը։ Համաձայն Hackread-ի, հարձակվողը մուտք է գործել հաշիվը ֆիշինգային էլեկտրոնային փոստի միջոցով՝ դրանով իսկ ներմուծելով վնասակար կոդ 18 հայտնի JavaScript փաթեթների մեջ։ Այս գրադարանները, ինչպիսիք են chalk, debug և ansi-styles, շաբաթական ավելի քան երկու միլիարդ ներբեռնում ունեն։ Սա խախտումը դարձնում է համակարգային, քանի որ այս կախվածությունները ներդրված են հազարավոր հավելվածներում ամբողջ աշխարհում։
Վնասակար կոդը, որը ճանաչվել է որպես կրիպտո-կլիպեր, նախագծված է լռելյայնորեն հետևելու կրիպտոարժույթի գործարքներին։ Երբ օգտատերը սկսում է գործարք, վնասակար ծրագիրը փոխում է նպատակակետի դրամապանակի հասցեն հարձակվողի կառավարվող հասցեով։ Այս գործընթացը աննկատ է, թողնելով ոչ մի ակնհայտ նշան, մինչև միջոցները անշրջելիորեն փոխանցվեն։ Ինչպես նշել է Brave New Coin-ը, հարձակումը շահագործում է հենց այն վստահությունը, որը մշակողները դնում են npm էկոհամակարգի վրա։
Կրիպտո կապը․ ինչու՞ է սա կարևոր
Հարձակումը հատկապես նպատակաուղղված է կրիպտոարժույթի օգտատերերին՝ շահագործելով հայտնի դրամապանակների, ինչպիսիք են MetaMask և Phantom API-ները։ Փոխելով գործարքների տվյալները թե՛ զննարկիչի, թե՛ API մակարդակներում՝ վնասակար ծրագիրը կեղծ փոխանցումները դարձնում է օրինական։ Համաձայն Blockworks-ի, կոդը նույնիսկ մանիպուլացնում է դրամապանակների միջերեսները՝ ցույց տալով ճիշտ հասցե, մինչդեռ միջոցները գաղտնի փոխանցվում են։
Ledger-ի տեխնիկական տնօրեն Շառլ Գիյոմեն հրապարակավ զգուշացրել է օգտատերերին խուսափել բլոկչեյն գործարքներից մինչև իրավիճակը կայունանա։ Նա այս միջադեպը կոչել է «մեծամասշտաբ կրիպտո անվտանգության խախտում», ընդգծելով դրա հնարավոր ազդեցությունը անհատների և կազմակերպությունների վրա։
Անհապաղ գործողություններ և մեղմացման ռազմավարություններ
Մշակողների համար առաջնահերթությունն է․ վերանայել կախվածությունները և վերադառնալ փաթեթների վերջին հայտնի անվտանգ տարբերակներին։ Անվտանգության փորձագետները, ներառյալ Aikido Security-ն, խորհուրդ են տալիս նախագծերը վերակառուցել զրոյից՝ վերացնելու մնացորդային ռիսկերը։ Ինչպես նշել է Cryptorank-ը, պահված lockfile-ները և անուղղակի կախվածությունները կարող են դեռ պարունակել վնասակար տարբերակներ՝ շարունակական սպառնալիքներ ստեղծելով։
Կրիպտո օգտատերերի համար ֆիզիկական դրամապանակները մնում են ամենաանվտանգ տարբերակը։ Այս սարքերը պահանջում են ֆիզիկական հաստատում գործարքների համար՝ ապահովելով, որ վնասակար հասցեի փոխարինումները կարող են նկատվել։ Մինչդեռ ծրագրային դրամապանակ օգտագործողները խորհուրդ են տրվում ամբողջությամբ դադարեցնել բլոկչեյն ակտիվությունը, մինչև հարձակման ծավալը ամբողջությամբ պարզվի։
Ընդհանուր պատկերը․ բաց աղբյուրի անվտանգության ահազանգ
Մինչև ուշադրությունը կենտրոնացած է կրիպտոարժույթի վրա, այս հարձակման ավելի լայն հետևանքները տագնապալի են։ Npm էկոհամակարգը, որը ժամանակակից ծրագրային մշակման հիմնասյունն է, կրկին ապացուցեց իր խոցելիությունը մատակարարման շղթայի խախտումների նկատմամբ։ Ինչպես ճշգրիտ նշել է Brave New Coin-ը, գլոբալ ծրագրային ապահովման ենթակառուցվածքը «կպած է ժապավենով և վստահությամբ»։
Այս միջադեպը ծառայում է որպես խիստ հիշեցում բաց աղբյուրի գրադարանների վրա հիմնվելու մեջ առկա ռիսկերի մասին։ Այն նաև բարձրացնում է հարցեր այն մասին, թե արդյոք ավելի խիստ անվտանգության արձանագրությունները, ինչպիսիք են պարտադիր երկաստիճան ստուգումը, կարող էին կանխել այս խախտումը։
Իրավիճակը դեռ զարգանում է, npm-ի անվտանգության թիմը ակտիվորեն հեռացնում է խախտված փաթեթները և տրամադրում թարմացումներ։ Սակայն հասցված վնասը ընդգծում է համակարգային փոփոխությունների անհրաժեշտությունը՝ ծրագրային կախվածությունների կառավարումն ու անվտանգությունը բարելավելու համար։
Այս աննախադեպ խախտումը ծառայում է որպես սթափեցնող հիշեցում մեր թվային էկոհամակարգերի փխրունության մասին։ Մշակողները և օգտատերերը պայքարում են մեղմելու ռիսկերը, իսկ միջադեպը ընդգծում է կիբերանվտանգության կայուն միջոցների կարևորությունը՝ պաշտպանելու ծրագրային և ֆինանսական ակտիվները։