هشدار جدی درباره حمله زنجیره تأمین در اکوسیستم جاوا اسکریپت
چارلز گیلمت (Charles Guillemet)، مدیر ارشد فناوری شرکت لجر، در یک هشدار فوری از وقوع یک حمله زنجیره تأمین در اکوسیستم جاوا اسکریپت خبر داد. او از کاربرانی که از کیف پولهای نرمافزاری استفاده میکنند خواست تا از انجام تراکنشهای آنچین خودداری کنند.
هک حساب توسعهدهنده معتبر
بر اساس پست منتشر شده توسط گیلمت در شبکه اجتماعی ایکس، حساب کاربری یک توسعهدهنده معتبر در پلتفرم NPM (مخزن بستههای نرمافزاری جاوا اسکریپت) هک شده است. این هک منجر به انتشار بدافزار در پکیجهایی شده که تاکنون بیش از یک میلیارد بار دانلود شدهاند و به طور بالقوه کل اکوسیستم کریپتو و “تمام بلاک چینها” را در معرض خطر قرار میدهد.
روشهای سرقت اطلاعات
این بدافزار به صورت مخفیانه آدرسهای کیف پول ارز دیجیتال را در لحظه انجام تراکنش، با آدرس هکر جایگزین میکند تا داراییها را به سرقت ببرد. گیلمت تأکید کرد که کاربرانی که از کیف پولهای سختافزاری مانند لجر (Ledger) استفاده میکنند، در صورتی که آدرس مقصد را پیش از امضا با دقت روی صفحه نمایش دستگاه خود بررسی کنند، در امان هستند.
توصیه به کاربران
او قویاً به کاربرانی که کیف پول سختافزاری ندارند، توصیه کرد که فعلاً هیچ تراکنش آنچینی انجام ندهند. همچنین، او افزود که هنوز مشخص نیست آیا این بدافزار قادر به سرقت عبارت بازیابی (Seed Phrase) از کیف پولهای نرمافزاری است یا خیر. این حمله بار دیگر اهمیت حیاتی بررسی چندباره جزئیات تراکنش پیش از تأیید نهایی را به همه کاربران یادآوری میکند.
