کلاهبرداریهای مرتبط با ارزهای دیجیتال در حال افزایش هستند و توجه گستردهای را به خود جلب کردهاند. در واقع، طی ۲۴ ساعت گذشته بیش از سه مورد نفوذ و حمله امنیتی رخ داده که برخی از مهمترین آنها در ادامه بررسی شدهاند.
SecondFi قربانی یک کلاهبرداری شد
کلاهبرداران با جعل هویت SecondFi، اقدام به توسعه افزونههای جعلی مرورگر و اپلیکیشنهایی کردند که هدف آنها سرقت ارزهای دیجیتال یا دسترسی به کیف پول کاربران بود.
برای رفع ابهامات ایجادشده، SecondFi اعلام کرد:
«هیچ اپلیکیشن یا لینک جدیدی وجود ندارد، همان نسخه قبلی است.»
تیم SecondFi تأکید کرد که هرگز از کاربران نخواهد خواست نرمافزاری را دانلود کنند، روی لینکها کلیک کنند، تراکنشها را امضا کنند یا داراییهای خود را از طریق پیامهای مستقیم یا ایمیل منتقل کنند.
به همین دلیل، این تیم برای جلوگیری از حملات فیشینگ و سرقت داراییها، به کاربران توصیه کرد تنها افزونه رسمی Chrome را نصب کنند که دارای علامت تأیید آبیرنگ است و فقط از طریق وبسایت رسمی SecondFi به این سرویس دسترسی داشته باشند.
چگونه یک سرقت باعث از دست رفتن ۱۸۰,۹۰۰ واحد SOL شد؟
در دومین مورد، محقق بلاکچین ZachXBT اعلام کرد که یک کیف پول قدیمی متعلق به یکی از نهنگهای اولیه سولانا (SOL) مورد حمله قرار گرفته است.
این اتفاق منجر به سرقت احتمالی ۱۸۰,۹۰۰ واحد SOL به ارزش ۱۴.۲ میلیون دلار شد.
بر اساس دادههای آنچین، این کیف پول ابتدا فعالیت غیرعادی در زمینه خارج کردن داراییهای استیکشده نشان داد؛ موضوعی که نشان میدهد مهاجم ابتدا کنترل داراییهای قفلشده را به دست گرفته و سپس آنها را به آدرسهای جدید سولانا منتقل کرده تا داراییها را تجمیع و مبادله کند.
در ادامه، داراییهای سرقتشده از شبکه سولانا به اتریوم (ETH) منتقل شدند تا مسیر تراکنشها مخفی شود و دسترسی به نقدینگی بیشتر فراهم شود.
همچنین، تحقیقات نشان داد بخشی از این سرمایهها از طریق Tornado Cash منتقل شدهاند؛ اقدامی که ردیابی آنها را بسیار دشوارتر کرده است.
حمله پیچیده به زنجیره تأمین نرمافزار
در آخرین مورد، پکیج npm مربوط به jscrambler هدف یک حمله زنجیره تأمین نرمافزاری قرار گرفت. گفته میشود مهاجم پس از سرقت اطلاعات ورود مورد نیاز برای انتشار نسخههای جدید، توانسته نسخههای مخرب این پکیج را منتشر کند.
در این حمله، یک بدافزار سرقت اطلاعات (infostealer) در نسخههای مخرب 8.14.0، 8.16.0، 8.17.0، 8.18.0 و 8.20 قرار داده شده بود.
این نسخهها برای اجرای کدهای مخرب روی سیستمهای لینوکس، macOS و ویندوز طراحی شده بودند. در ابتدا، مهاجمان از یک اسکریپت پیشنصب (preinstall script) استفاده کردند که هنگام اجرای دستور npm install بهصورت خودکار اجرا میشود تا بدافزار را توزیع کند.
اما در نسخههای 8.18.0 و 8.20.0، مهاجم کد مخرب را مستقیماً داخل پکیج قرار داد تا بتواند اقدامات امنیتی مانند npm install –ignore-scripts را دور بزند؛ قابلیتی که معمولاً از اجرای اسکریپتهای پیشنصب جلوگیری میکند.
طبق اعلام jscrambler، این حمله به دلیل به خطر افتادن اطلاعات ورود انتشاردهندگان npm امکانپذیر شد و مهاجم توانست نسخههای غیرمجاز را منتشر کند.
پس از این اتفاق، به توسعهدهندگان توصیه شد هرچه سریعتر نسخه خود را به 8.22.0 بهروزرسانی کنند؛ نسخهای که مشکل امنیتی موجود را برطرف کرده است.
* اطلاعات ارائه شده در این مقاله صرفاً برای اهداف اطلاعاتی و آموزشی است و نباید به عنوان مشاوره مالی، سرمایهگذاری یا حقوقی تلقی شود. ما توصیه میکنیم قبل از انجام هر گونه سرمایهگذاری، تحقیقات مستقل انجام دهید و با یک مشاور مالی یا حقوقی مشورت کنید.