از «کد قرمز» تا «هیچ‌چیز»: آیا بهره‌برداری NPM بیش از حد تبلیغ شد؟

یک حمله جزئی با یک هشدار بیدارباش

گزارش‌های اولیه از حمله به زنجیره تأمین JavaScript Node Package Manager (NPM) دوره‌ای کوتاه اما شدید از هراس را در جامعه کریپتو به وجود آورد. به مدت چند ساعت، پیش‌بینی کنندگان بدبین بر هشدار تأکید کرده و به گمانه‌زنی درباره سرقت گسترده وجوه کاربران پرداختند. در این زمان، مدیر فنی لدجر، چارلز گویلیمیت، توصیه کرد تا کاربران کیف پول نرم‌افزاری از انجام تراکنش‌های زنجیره‌ای خودداری کرده و کاربران کیف پول سخت‌افزاری هر تراکنش را دوباره بررسی کنند.

با این حال، پس از گذشت چند ساعت، ابعاد حمله روشن‌تر شد. مشخص شد که کد مخرب به‌طور خاص هدف‌گذاری شده بود و تعداد برنامه‌های آسیب‌دیده محدود بود. پروژه‌های شناخته‌شده‌ای مانند Uniswap، Metamask، OKX Wallet و Aave همگی بیانیه‌هایی منتشر کردند که نشان می‌دادند تحت تأثیر قرار نگرفتند.

فقدان خسارت گسترده به سرعت هراس اولیه را به یک بحث تبدیل کرد. برخی از کاربران کریپتو که آسوده‌خاطر شده بودند، شروع به زیر سؤال بردن شدت هشدار اولیه کردند، و برخی اکنون آن را به عنوان نوعی از هشدار اضافی و حتی یک حمله غیرمستقیم به کیف‌های نرم‌افزاری می‌دانند. این دیدگاه پیشنهاد می‌دهد که هشدار، در حالی که به یک آسیب‌پذیری واقعی اشاره کرده است، ممکن است برای ترویج استفاده از کیف‌های سخت‌افزاری بزرگ‌نمایی شده باشد.

در حالی که خسارت از نظر سرقت کریپتو باعث شده برخی این سوءاستفاده را “تنها یک هشدار بی‌اهمیت” بنامند، برخی کارشناسان امنیت بلاک‌چین اصرار دارند که این واقعه باید به عنوان یک هشدار برای همه توسعه‌دهندگان نرم‌افزار عمل کند. این کارشناسان بر این باورند که این رویداد مدل امنیتی کیف‌های سخت‌افزاری را تایید می‌کند، اما همچنین هشدار می‌دهند که کاربران این کیف‌ها می‌توانند در شرایط خاصی همچنان وجوه خود را در نتیجه چنین حملاتی از دست بدهند.

آگوستو تکسیرا، یکی از بنیان‌گذاران Cartesi، این نکته را با بیان اینکه، “حتی کاربران کیف‌های سخت‌افزاری می‌توانند از چنین حملاتی آسیب ببینند. برای مثال، چند نفر از کیف‌های سخت‌افزاری خود همراه با Metamask بدون بررسی داده‌ها بر روی صفحه نمایش دستگاه استفاده می‌کنند. این مورد هنگامی که تراکنش‌ها پیچیده‌تر می‌شوند و افراد آن‌ها را بدون خواندن امضا می‌کنند، رایج‌تر شده است. بررسی کردن سخت است.”

به گفته تکسیرا، کیف‌های سخت‌افزاری فاقد ویژگی‌های مهمی مانند دفترچه آدرس یا یکپارچگی با JSON ABI هستند که به کاربران اجازه می‌دهد بهتر درک کنند که چه چیزی را از صفحه نمایش دستگاه امضا می‌کنند.

پیامدهای گسترده صنعتی و بهترین روش‌ها

واقعه NPM پرسش‌هایی درباره رویه‌های امنیتی استفاده شده توسط توسعه‌دهندگان، مدیران بسته و سازمان‌ها به وجود آورده است. برخی در صنعت کریپتو اعتقاد دارند که با رعایت بهترین روش‌ها – مانند بررسی همکارانه و عدم اجازه به توسعه‌دهندگان برای ارسال کد به تولید بدون تأیید – می‌توان احتمال چنین حملاتی را به حداقل رساند. علاوه بر این، آن‌ها استدلال می‌کنند که توسعه‌دهندگان باید سیستم‌ها را به‌روز نگه دارند و از استفاده مجدد از گذرواژه‌ها خودداری کنند.

شاهاف بار-گفن، هم‌مؤسس و مدیر عامل COTI، بر این باور است که مدیران بسته مانند NPM باید فرآیند ورود را برای مهاجمین آینده‌پذیر دشوارتر کنند. او معتقد است که یک “چارچوب امنیتی بحرانی برای بسته‌ها”، که ممکن است توسط سازمان‌هایی مانند OpenJS Foundation اداره شود، می‌تواند “احراز هویت قوی (۲FA، نشانه‌های API محدوده‌دار)، ساخت‌های قابل تولید مجدد، و ممیزی‌های سالانه شخص ثالث برای بسته‌هایی که از آستانه‌های دانلود بالا تجاوز می‌کنند، تحمیل کند.” بار-گفن بر این باور است که این مدل بررسی چند سطحی می‌تواند به تشویق بهترین رویه‌ها کمک کند در حالی که زیرساخت‌های حیاتی را محافظت می‌کند.

برای جلوگیری از تکیه بر یک نفر (که ممکن است منافع خاصی داشته باشد) برای برملا کردن فعالیت‌های مخرب، کارلو فراگنی، معمار راه‌حل در Cartesi، پروژه‌ها را ترغیب می‌کند که به کانال‌های مورد استفاده محققان توجه کنند. او همچنین استفاده از ابزار تحلیل وابستگی‌ها و انجام دقت لازم بر هر وابستگی هرگاه که به نسخه جدید بروزرسانی می‌شود را توصیه می‌کند.