مدير التكنولوجيا الرئيسي لشركة Ledger يحذر من هجوم على سلسلة التوريد NPM يصل إلى أكثر من مليار عملية تنزيل

حذر تشارلز جيليميت، كبير مسؤولي التكنولوجيا في شركة Ledger، صانع محافظ الأجهزة، على X يوم الاثنين من أن هجومًا واسع النطاق على سلسلة التوريد جارٍ بعد اختراق Node Package Manager الخاص بمطور حسن السمعة (NPM) حساب.

وفقًا لـ Guillemet، فإن الشيفرة الخبيثة – المُدمجة بالفعل في حزم بأكثر من مليار عملية تنزيل – مصممة لتبادل عناوين محافظ العملات المشفرة سرًا في المعاملات. هذا يعني أن المستخدمين غير المنتبهين قد يرسلون الأموال مباشرةً إلى المهاجم دون علمهم.

ولم يكشف غيوميت عن اسم المطور الذي قال إن حسابه تعرض للاختراق.

وتسلط هذه الحادثة الضوء على مدى الترابط العميق بين البرمجيات مفتوحة المصدر ولماذا يمكن أن تؤثر الثغرات الأمنية في أدوات المطورين على اقتصاد التشفير على الفور تقريبًا.

قال غيليميت في رسالة إلى كوين ديسك: "إن NPM أداة شائعة الاستخدام في تطوير البرمجيات باستخدام جافا سكريبت، مما يُسهّل على المطورين دمج الحزم". عندما يخترق مهاجم حساب مطور، يُمكنه إدخال برمجيات خبيثة في الحزم المستخدمة على نطاق واسع.

وأضاف جيليميت أن "البرمجيات الخبيثة تحاول استنزاف المستخدمين من خلال تبديل العناوين المستخدمة في المعاملات أو النشاط العام على السلسلة واستبدالها بعنوان المخترق".

وشدد جيليميت على أنه إذا كان أي تطبيق لامركزي أو محفظة برمجية عبر أي سلسلة كتل تحتوي على حزم JavaScript هذه، فإنها قد تتعرض للخطر، وبالتالي قد يخسر مستخدمو العملات المشفرة أموالهم.

قال غيليميت لموقع كوين ديسك: "الطريقة الوحيدة الأكيدة لمكافحة هذه المشكلة هي استخدام محفظة إلكترونية مزودة بشاشة آمنة تدعم التوقيع الواضح. سيسمح هذا للمستخدم برؤية عناوين الأموال المرسلة بدقة والتأكد من مطابقتها للعناوين المقصودة".

وأضاف أن "المحافظ المادية التي لا تحتوي على شاشات آمنة وأي محفظة لا تدعم التوقيع الواضح معرضة لخطر كبير لأنه من المستحيل التحقق بدقة من صحة تفاصيل المعاملة".

وقال جيليميت "إنها فرصة لتذكير الجميع: التحقق دائمًا من معاملاتك، وعدم التوقيع بشكل أعمى، واستخدام محفظة أجهزة ذات شاشة آمنة، والتوقيع الواضح على كل شيء".

اقرأ المزيد: المدير التقني لشركة Ledger يرد على انتقادات خدمة استرداد المحفظة الجديدة