أثار هجوم حديث على سلسلة التوريد NPM حالة من الذعر القصير في مجتمع العملات الرقمية، مما أثار المخاوف من سرقة واسعة النطاق للأموال. بينما اعتبر البعض أن الاستغلال بسيط، أكد خبراء الأمن على أنه نداء استيقاظ للمطورين.
من 'تحذير عاجل' إلى 'لا شيء': هل تم تضخيم استغلال NPM؟
بقلم
مشاركة
«قضية بسيطة» مع نداء استيقاظ
أثارت التقارير الأولى عن هجوم واسع النطاق على سلسلة التوريد متجهة لـ JavaScript Node Package Manager (NPM) فترة قصيرة ولكن مكثفة من الذعر داخل مجتمع العملات الرقمية. لعدة ساعات، استغل بعض المتشائمين الإنذار، مبدين أراء تتعلق بسرقة واسعة النطاق لأموال المستخدمين. في ذلك الوقت، نصح CTO لشركة ليدجر تشارلز جيلميت، مستخدمي المحفظة البرمجية بالكف عن العمليات عبر الشبكة ومستخدمي المحفظة الصلبة بالتأكد من كل معاملة.
ومع مرور الساعات، أصبح حجم الهجوم أكثر وضوحًا. تم الكشف عن أن الكود الضار كان مستهدافًا بشدة وأن عدد التطبيقات المتأثرة كان محدودًا. أطلقت مشاريع بارزة مثل Uniswap وMetamask وOKX Wallet وAave جميعها بيانات تؤكد أنها لم تتأثر.
تحول نقص الضرر الواسع سريعًا من الذعر الأولي إلى نقاش. بدأ بعض مستخدمي العملات الرقمية المرتاحين في التساؤل حول خطورة التحذير الأصلي، مع اعتبار البعض الآن أنه مبالغ فيه وربما حتى هجوم غير مباشر على المحافظ البرمجية. تقترح هذه النظرة أن التحذير، على الرغم من تسليطه الضوء على ضعف حقيقي، قد تم تضخيمه للترويج لاستخدام المحافظ الصلبة.
على الرغم من أن الضرر من حيث العملات المسروقة دفع بعضهم لتوصيف الاستغلال بأنه “قضية بسيطة”، إلا أن بعض خبراء أمان البلوكشين يصرون على أن الحادثة يجب أن تكون نداء استيقاظ لكل مطوري البرمجيات. يتفق هؤلاء الخبراء على أن الواقعة تثبت نموذج الأمان الخاص بالمحافظ الصلبة، ولكنهم يحذرون أيضًا من أن مستخدمي تلك المحافظ يمكن أن يخسروا الأموال من هجوم مشابه في ظل ظروف معينة.
أوضح أوغستو تيكسيرا، الشريك المؤسس في كارتسي، هذه النقطة قائلاً: “حتى مستخدمي المحافظ الصلبة قد يتأثرون بمثل هذه الهجمات. على سبيل المثال، يستخدم الكثيرون محافظهم الصلبة بمساعدة Metamask، دون التحقق من البيانات على شاشة الجهاز. هذا أصبح شائعًا مع تعقيد المعاملات وزيادة التوقيعات العمياء فيها. التحقق صعب.”
وفقًا لتيكسيرا، فإن المحافظ الصلبة تفتقر إلى ميزات هامة مثل دفاتر العناوين أو التكامل مع JSON ABI، مما يسمح للمستخدمين بفهم أفضل لما يوقعونه على شاشة الجهاز.
تداعيات على مستوى الصناعة والمبادئ التوجيهية الأفضل
أثارت واقعة NPM تساؤلات حول الممارسات الأمنية التي يستخدمها المطورون ومديرو الحزم والمنظمات. بعضهم في صناعة العملات الرقمية يعتقد أن اتباع أفضل الممارسات—مثل مراجعة الزملاء وعدم السماح للمطورين بدفع الكود للإنتاج دون موافقة—يمكن أن يقلل من احتمالية حدوث مثل هذا الهجوم. بالإضافة إلى ذلك، يجادلون بأن المطورين يجب أن يبقوا الأنظمة محدثة ويتجنبوا إعادة استخدام كلمات المرور.
يعتقد شاحاف بار-جيفين، الشريك المؤسس والرئيس التنفيذي لشركة COTI، أن مديري الحزم مثل NPM يجب أن يجعلوا عملية تسجيل الدخول أكثر صعوبة على المهاجم المحتمل. يجادل بأن “إطار عمل أمني للحزم الحرجة”، تحت إشراف هيئات مثل مؤسسة OpenJS، “يمكن أن يفرض مصادقة قوية (2FA، رموز API محدودة)، بنى قابلة للإعادة، وتدقيق سنوي لجهات خارجية للحزم التي تتجاوز عتبات تنزيل عالية.” يعتقد بار-جيفين أن هذا النموذج الطبقي للتحقق سيساعد على تحفيز أفضل الممارسات بينما يحمي البنية التحتية الحرجة.
لتجنب الاعتماد على شخص واحد (قد يكون له اهتمامات ذاتية) في كشف الأنشطة الضارة، يشجع كارلو فراغني، مهندس الحلول في كارتسي، المشاريع على متابعة القنوات المستخدمة من قبل الباحثين. كما يساند “استخدام أدوات تحليل التبعيات وإجراء العناية الواجبة على كل تبعية عند تحديثها إلى إصدار جديد.”
