npm در نهایت به بحران “Mini Shai-Hulud” می پردازد، اما کارشناسان امنیت رمزنگاری آن را نیمی از اقدامات می دانند – U.Today

پس از مدت ها سکوت، سرانجام مدیریت رجیستری npm در مورد حمله زنجیره تامین گسترده وارد وضعیت شد و فورا توکن های دسترسی پرمخاطب را با مجوزهای نوشتن که به مهاجمان اجازه می داد احراز هویت دو مرحله ای را دور بزنند، لغو کرد.

این اقدامات برای سرکوب موج پنجم کرم «Mini Shai-Hulud» که توسعه‌دهندگان Web3 را هدف قرار می‌دهد، انجام شد، در حالی که خود پلتفرم مجبور به صدور یک دستورالعمل اضطراری برای تشویق کاربران به تغییر فوری اسرار و تغییر مکانیسم انتشارات مورد اعتماد شد.

جالب اینجاست که پاسخ رسمی npm انتقاد شدید رهبران صنعت امنیت سایبری را برانگیخت و ادعا کردند که این پلتفرم به جای پرداختن به خود عفونت سیستمیک، علائم را درمان می‌کند.

خیلی کم، خیلی دیر؟

تیلور موناهان، محقق ارشد امنیتی MetaMask، به طعنه‌آمیز در مورد اقدامات این پلتفرم اظهار نظر کرد و اظهار داشت که پاسخ تاخیری چیزی را حل نکرد و تنها به عنوان تایید رسمی وسعت بحرانی بحران زیرساخت عمل کرد.

محقق امنیتی موشه سیمان توو بوستان نیز رویکرد فنی رجیستری را به سخره گرفت و اظهار داشت که تلاش برای جلوگیری از انتشار بدافزار با مسدود کردن دسترسی ساده به جای تجزیه و تحلیل صحیح بدافزار اساساً بی اثر است.

انتقاد اصلی محققان این است که باطل کردن توکن ها ممکن است از انتشار نسخه های مخرب جدید جلوگیری کند، اما این برای توسعه دهندگانی که دستیاران هوش مصنوعی آنها قبلاً آلوده شده اند بی فایده است. کرم “Mini Shai-Hulud” عمیقاً در پیکربندی های IDE نفوذ می کند و حتی پس از رد شدن دسترسی در سمت رجیستری npm به سرقت کلیدهای خصوصی در سکوت ادامه می دهد.

برای کسانی که از این موضوع غافل شده اند، این کرم خود را با عادات توسعه دهندگان مدرن تطبیق می دهد و از ابزارهای خود علیه آنها استفاده می کند.

• هوش مصنوعی در خدمت هکرها: بدافزار پس از ورود به دستگاه، فقط داده ها را سرقت نمی کند. بی‌صدا خود را در پیکربندی دستیاران هوش مصنوعی و IDE جاسازی می‌کند.
• کد جاودانه: هر بار که یک عامل هوش مصنوعی راه اندازی می شود، یک اسکریپت مخفی بر اساس Bun فعال می شود. توسعه دهندگان می توانند به طور مکرر پروژه ها را حذف کنند و node_modules را حذف کنند، اما این کرم هر بار که دستیار هوش مصنوعی پرس و جو می شود، دوباره محیط را آلوده می کند.
• جاسوسی نامرئی: این کرم هر چیزی با ارزش را می‌دزدد، از اعتبارنامه‌های ابری AWS گرفته تا عبارات اولیه کیف پول کریپتو. داده های دزدیده شده رمزگذاری شده و از طریق API رسمی GitHub به بیرون درز می کنند. به نظر می رسد که ترافیک سیستم های امنیتی از تعهدات عادی توسعه دهندگان قابل تشخیص نیست.

موج فعلی پس از اینکه مهاجمان حساب قانونی npm “atool” را به خطر انداختند به اوج خود رسیده است. تنها در 27 دقیقه، یک اسکریپت خودکار 637 نسخه مخرب را در 323 بسته منحصر به فرد منتشر کرد که در مجموع به 16 میلیون بارگیری هفتگی رسید.