صفحه اصلیمرکز اخبار LBank
حمله زنجیره تامین به نسخه‌های Axios npm؛ کاربران به تغییر کلیدها ترغیب شدند
axios-npm-supply-chain-attack-malicious-dependency
حمله زنجیره تامین به نسخه‌های Axios npm؛ کاربران به تغییر کلیدها ترغیب شدند
شرکت‌های امنیتی نسخه‌های [email protected] و 0.30.4 را به‌عنوان آسیب‌پذیر شناسایی کرده‌اند و توصیه به تغییر اعتبارنامه‌ها و بازگردانی بسته‌های آسیب‌دیده می‌کنند.
2026-03-31 منبع:cointelegraph.com

به‌روزرسانی ۳۱ مارس ۲۰۲۶، ۱:۲۸ بعد از ظهر به وقت جهانی (UTC): این مقاله برای افزودن نظرات عبدالفتاح ابراهیم، مهندس ارشد امنیت تهاجمی در Hacken، به‌روزرسانی شده است.

دو نسخه مخرب npm اکسیس، هشدارهایی را برای توسعه‌دهندگان صادر کرده‌اند تا اعتبارنامه‌های خود را تغییر داده و سیستم‌های آسیب‌دیده را پس از یک حمله زنجیره تامین که کتابخانه محبوب کلاینت HTTP جاوا اسکریپت را آلوده کرد، آلوده تلقی کنند.

این آسیب‌پذیری ابتدا توسط شرکت امنیت سایبری Socket گزارش شد، که اعلام کرد نسخه‌های [email protected] و [email protected] برای دریافت [email protected]، یک وابستگی مخرب که به صورت خودکار در حین نصب اجرا می‌شد، تغییر یافته بودند، پیش از آنکه این نسخه‌ها از npm حذف شوند.

به گفته شرکت امنیتی OX Security، کد تغییر یافته می‌تواند به مهاجمان امکان دسترسی از راه دور به دستگاه‌های آلوده را بدهد و به آن‌ها اجازه سرقت داده‌های حساس مانند اعتبارنامه‌های ورود، کلیدهای API و اطلاعات کیف پول رمز ارز را می‌دهد.

این حادثه نشان می‌دهد که چگونه یک مولفه متن‌باز به خطر افتاده می‌تواند به طور بالقوه در هزاران برنامه‌ای که به آن وابسته هستند گسترش یابد و نه تنها توسعه‌دهندگان، بلکه پلتفرم‌ها و کاربران متصل به سیستم را نیز در معرض خطر قرار دهد.

شرکت‌های امنیتی بر تغییر کلیدها و ممیزی سیستم تأکید دارند

OX Security به توسعه‌دهندگانی که [email protected] یا [email protected] را نصب کرده بودند، هشدار داد که سیستم‌های خود را کاملاً به خطر افتاده در نظر بگیرند و فوراً اعتبارنامه‌ها، از جمله کلیدهای API و توکن‌های نشست را تغییر دهند.

Socket اعلام کرد که نسخه‌های به خطر افتاده اکسیس برای شامل شدن یک وابستگی به [email protected]، یک پکیج که کمی قبل از حادثه منتشر شده و بعداً مخرب شناسایی شد، تغییر یافته بودند.

مرتبط: مدیر عامل می‌گوید: افزونه مرورگر Trust Wallet به دلیل «باگ» فروشگاه کروم از دسترس خارج شد

این شرکت گفت که این وابستگی برای اجرای خودکار در حین نصب از طریق یک اسکریپت پس از نصب پیکربندی شده بود و به مهاجمان اجازه می‌داد بدون تعامل کاربر اضافی، کد را روی سیستم‌های هدف اجرا کنند.

Socket به توسعه‌دهندگان توصیه کرد تا پروژه‌ها و فایل‌های وابستگی خود را برای نسخه‌های آسیب‌دیده اکسیس و پکیج مرتبط [email protected] بررسی کنند و هر نسخه به خطر افتاده را فوراً حذف یا بازگردانی کنند.

عبدالفتاح ابراهیم، مهندس ارشد امنیت تهاجمی در Hacken، به Cointelegraph گفت که این آسیب‌پذیری می‌تواند پیامدهای جدی برای برنامه‌های مرتبط با رمز ارز که برای عملیات بک‌اند به اکسیس وابسته هستند، داشته باشد.

او گفت: «این خبر بدی برای دپ‌ها (dapps) و برنامه‌هایی است که با ارز دیجیتال سروکار دارند، زیرا اکسیس نقش بزرگی در فراخوانی‌های API ایفا می‌کند.» او اشاره کرد که سیستم‌های آسیب‌دیده می‌توانند شامل ادغام‌های صرافی، بررسی موجودی کیف پول و پخش تراکنش‌ها باشند.

ابراهیم گفت که بدافزار مستقر شده در این حمله به عنوان یک تروجان دسترسی از راه دور (RAT) کامل عمل می‌کند و به مهاجمان امکان تعامل مستقیم با سیستم‌های به خطر افتاده را می‌دهد. او افزود که این حادثه یک ضعف گسترده‌تر در نحوه مدیریت خطرات زنجیره تامین را برجسته می‌کند.

حوادث پیشین رمز ارز خطرات زنجیره تامین را برجسته می‌کنند

حوادث پیشین رمز ارز نشان داده‌اند که چگونه نقض‌های زنجیره تامین می‌توانند از اطلاعات توسعه‌دهنده به سرقت رفته به از دست دادن کیف پول‌های کاربر نهایی تشدید شوند.

در تاریخ ۳ ژانویه، محقق درون زنجیره‌ای ZachXBT گزارش داد که «صدها» کیف پول در شبکه‌های سازگار با ماشین مجازی اتریوم (EVM) در یک حمله گسترده که مقادیر کمی از هر قربانی را برداشت کرد، تخلیه شدند.

محقق امنیت سایبری، ولادیمیر اس.، گفت که این حادثه احتمالاً به یک نقض امنیتی دسامبر مرتبط است که بر Trust Wallet تأثیر گذاشت و منجر به تقریباً ۷ میلیون دلار ضرر در بیش از ۲۵۰۰ کیف پول شد.

Trust Wallet بعدها اعلام کرد که این نقض ممکن است از یک آسیب‌پذیری زنجیره تامین شامل پکیج‌های npm مورد استفاده در گردش کار توسعه آن نشأت گرفته باشد.

مجله: هیچ‌کس نمی‌داند که آیا رمزنگاری امن کوانتومی اصلا کار خواهد کرد یا خیر


رمزارز های محبوب
همین حالا ثبت‌نام کنید، هیچ به‌روزرسانی‌ای را از دست ندهید!