npm Supply Chain Attack Wave: Nima Bo‘ldi? Xavfni Qanday Oldini Olish Mumkin?

Original Article Title: "Supply Chain Attack Goes Viral Overnight: What Happened? How to Mitigate Risk?"

Original Article Author: Azuma, Odaily Planet Daily

9-sentabr kuni, Sharqiy 8-mintaqa vaqti bilan, Ledger bosh texnologiya direktori Charles Guillemet X’da ogohlantirish e’lon qildi va shunday dedi: "Hozirda keng ko‘lamli supply chain attack sodir bo‘lmoqda, mashhur dasturchining NPM akkaunti buzib kirilgan. Ta’sirlangan dasturiy paket 1.1 billion martadan ortiq yuklab olingan, bu esa butun JavaScript ekotizimi xavf ostida ekanini ko‘rsatadi."

Guillemet qo‘shimcha qildi: "Zararli kod kriptovalyuta manzillarini orqa fonda yashirincha o‘zgartirib, mablag‘larni o‘g‘irlash orqali ishlaydi. Agar siz hardware wallet ishlatsangiz, har bir imzo tranzaksiyasini diqqat bilan tekshirib chiqing va siz xavfsizsiz. Agar hardware wallet ishlatmasangiz, vaqtincha on-chain tranzaksiyalardan voz keching. Hozircha xaker dasturiy walletlarning mnemonic phrase’ini o‘g‘irlaganmi yoki yo‘qmi, noma’lum."

Nima Sodir Bo‘ldi?

Guillemet keltirgan xavfsizlik hisobotiga ko‘ra, ushbu hodisaning bevosita sababi quyidagicha: mashhur dasturchi @qix’ning NPM akkaunti buzib kirilgan va natijada chalk, strip-ansi va color-convert kabi o‘nlab dasturiy paketlarning zararli versiyalari chiqarilgan. Zararli kod dasturchilar yoki foydalanuvchilar avtomatik ravishda dependency’larni o‘rnatganda oxirgi foydalanuvchilarga tarqalgan bo‘lishi mumkin.

Odaily Note: Buzilgan dasturiy paketlarning haftalik yuklab olish hajmi ma’lumotlari.

Qisqacha aytganda, bu supply chain attack’ning klassik holati — xaker dasturlash vositasi yoki dependency tizimiga zararli kod (masalan, NPM paketi) joylashtirib, zararli faoliyatlarni amalga oshiradi. NPM, ya’ni Node Package Manager, JavaScript/Node.js ekotizimida eng keng tarqalgan paketlarni boshqarish vositasi hisoblanadi. Uning asosiy funksiyalari dependency boshqaruvi, paketlarni o‘rnatish va yangilash, kod almashish va boshqalarni o‘z ichiga oladi.

NPM ekotizimi juda katta bo‘lgani uchun, hozirda millionlab dasturiy paketlar mavjud va deyarli barcha Web3 loyihalari, kripto wallet’lar va frontend vositalari NPM’dan foydalanadi—shuning uchun NPM’ning keng dependency’lari va murakkab zanjiri supply chain attack’lar uchun yuqori xavfli kirish nuqtasiga aylanadi. Mashhur dasturiy paketga zararli kod joylashtirish orqali xakerlar minglab ilovalar va foydalanuvchilarga ta’sir ko‘rsatishi mumkin.

Yuqoridagi zararli kod tarqalish sxemasida ko‘rsatilganidek:

· Ma’lum bir loyiha (ko‘k katak) to‘g‘ridan-to‘g‘ri ba’zi umumiy ochiq manba kutubxonalariga, masalan, express’ga bog‘liq.

· Ushbu to‘g‘ridan-to‘g‘ri dependency’lar (yashil kataklar) esa boshqa bilvosita dependency’larga (sariq kataklar, masalan, lodash) bog‘liq.

· Agar bilvosita dependency xaker tomonidan yashirincha zararli kod bilan yuqtirilsa (qizil katak), u dependency zanjiri orqali loyiha ichiga tarqaladi.

Bu Kriptovalyuta Uchun Nimani Anglatadi?

Ushbu xavfsizlik hodisasining kriptovalyuta sohasiga bevosita aloqasi shundaki, xaker tomonidan yuqorida buzilgan dasturiy paketga joylashtirilgan zararli kod — bu ilg‘or "kriptovalyuta clipboard hijacker" bo‘lib, wallet manzillarini almashtirish va tranzaksiyalarni hijack qilish orqali kriptovalyuta aktivlarini o‘g‘irlaydi.

Stress Capital asoschisi GE (@GuarEmperor) X’da bu haqda batafsil ma’lumot berdi va xakerning "clipboard hijacker" in’ektsiyasi ikki xil hujum rejimini qo‘llashini ta’kidladi—passiv tarzda Levenshtein distance algoritmidan foydalanib, ko‘rinishda o‘xshash wallet manzillarini almashtirish (aniqlash juda qiyin); faol tarzda esa foydalanuvchi tranzaksiyani imzolashidan oldin brauzerda aniqlangan kriptovalyuta wallet manzilini o‘zgartirish.

Bu hujum JavaScript loyihalarining asosiy qatlam kutubxonalarini nishonga olgani sababli, ushbu kutubxonalarga bilvosita bog‘liq loyihalar ham ta’sirlanishi mumkin.

Xaker Qanday Foyda Ko‘radi?

Xaker joylashtirgan zararli kod ularning hujum manzillarini ham oshkor qilgan. Xakerning Ethereum’dagi asosiy hujum manzili 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976 bo‘lib, mablag‘lar asosan quyidagi uchta manzildan kelib tushgan:

· 0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240

· x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B

· 0x30F895a2C66030795131FB66CBaD6a1f91461731

Arkham jamoasi ushbu hujum hodisasi uchun kuzatuv sahifasini yaratgan, u yerda xakerning real vaqt rejimidagi daromadlari va transferlari haqida ma’lumot olishingiz mumkin.

Maqola yozilayotgan vaqtda, xaker hujumi atigi $496 daromad keltirgan, biroq zararli kodning tarqalish darajasi hali noma’lum bo‘lgani uchun, bu raqam oshishi mumkin—dasturchi xabardor qilingan va NPM xavfsizlik jamoasi bilan faol hamkorlik qilmoqda. Zararli kod ko‘pchilik ta’sirlangan paketlardan olib tashlangan, shuning uchun vaziyat nazorat ostida.

Xavfni Qanday Yengillashtirish Mumkin?

Defillama asoschisi @0xngmi X’da shunday dedi: bu hodisa xavfli tuyulsa-da, haqiqiy ta’siri unchalik keng emas—chunki bu hodisa faqat buzilgan NPM dasturiy paketi chiqarilgandan keyin yangilanishlarni push qilgan veb-saytlarga ta’sir qiladi, boshqa loyihalar esa eski versiyadan foydalanishda davom etadi; va ko‘pchilik loyihalar dependency’larini lock qiladi, shuning uchun yangilanish bo‘lsa ham, ular hali ham eski xavfsiz koddan foydalanadi.

Biroq, oxirgi foydalanuvchilar loyiha dependency’larini lock qilganmi yoki dinamik yuklab olinadigan dependency’lari bormi, aniq bilolmaydi, shuning uchun hozirda loyiha o‘zi tekshiruv va oshkoralik uchun chiqishi juda muhim.

Maqola yozilayotgan vaqtda, MetaMask, Phantom, Aave, Fluid, Jupiter kabi bir nechta wallet yoki ilova loyihalari ushbu hodisadan ta’sirlanmaganini oshkor qilishdi. Shuning uchun, nazariy jihatdan, foydalanuvchilar xavfsizligi tasdiqlangan wallet’lardan foydalanib, xavfsizligi tasdiqlangan protokollarga ishonch bilan kirishlari mumkin. Biroq, xavfsizlik oshkor qilinmagan wallet yoki loyihalar uchun vaqtincha ulardan foydalanmaslik xavfsizroq bo‘lishi mumkin.