بسته‌های مخرب NuGet که خود را به‌جای Nethereum معرفی کردند و کلیدهای کیف پول رمزارز را سرقت کردند

تیم تحقیقاتی تهدیدهای Socket یک حمله زنجیره تأمین پیچیده را شناسایی کرد که توسعه‌دهندگان رمزارز را از طریق بسته‌های مخرب NuGet هدف قرار می‌دهد. در این حمله، مهاجمان با جعل نام Nethereum اقدام به سرقت کلیدهای خصوصی و داده‌های حساس کردند.

نمونه‌ای از بسته جعلی NuGet در حمله به توسعه‌دهندگان Nethereum

روش حمله بسته‌های مخرب NuGet

مهاجمان بسته‌ای با نام Netherеum.All منتشر کردند که از لحاظ ظاهری با نسخه اصلی Nethereum تفاوتی ندارد. آن‌ها از تکنیک Homoglyph Typosquatting برای فریب توسعه‌دهندگان استفاده کردند؛ در این روش، کاراکتر «е» سیریلیک جایگزین «e» لاتین می‌شود و بسته جعلی تقریباً مشابه نسخه اصلی به نظر می‌رسد.

افزایش جعلی اعتبار با دانلود مصنوعی

این بسته در عرض چند روز به‌طور غیرواقعی بیش از ۱۱.۶ میلیون دانلود ثبت کرد. مهاجمان با استفاده از اسکریپت‌های خودکار و IPهای متعدد، شمار دانلودها را افزایش دادند تا بسته در نتایج جست‌وجوی NuGet رتبه بالاتری بگیرد و اعتماد توسعه‌دهندگان را جلب کند.

نحوه عملکرد بدافزار

کد مخرب در متد EIP70221TransactionService.Shuffle پنهان شده است. این کد با رمزگذاری XOR آدرس سرور فرمان و کنترل را پنهان می‌کند. هنگام اجرا، داده‌های حساس مانند mnemonic و کلید خصوصی از طریق HTTPS به سرور solananetworkinstance[.]info/api/gads ارسال می‌شود.

تداوم حملات مشابه

Socket گزارش داد که این کمپین دومین تلاش از این نوع است. نسخه قبلی با نام NethereumNet منتشر شده بود و از همان زیرساخت مخرب استفاده می‌کرد. با وجود حذف بسته، مهاجمان با تغییر نام و حساب جدید به انتشار ادامه دادند.

توصیه‌های امنیتی برای توسعه‌دهندگان

  • استفاده از منابع رسمی مانند Nethereum در NuGet
  • بررسی دقیق نام بسته‌ها برای شناسایی کاراکترهای جعلی
  • فعال‌سازی احراز هویت ناشر و بررسی امضای دیجیتال
  • استفاده از ابزارهای امنیتی مانند Socket.dev برای تحلیل وابستگی‌ها
  • چرخش فوری کلیدهای خصوصی در صورت آلودگی

پیشنهاد برای مدیران مخازن نرم‌افزار

مدیران مخازن باید محدودیت استفاده از کاراکترهای ASCII را در نام بسته‌ها اعمال کنند تا حملات Homoglyph کاهش یابد. همچنین نظارت بر دانلودهای غیرعادی و رفتار بسته‌ها باید به بخشی از فرایند اعتبارسنجی تبدیل شود.

جمع‌بندی

حمله اخیر به بسته‌های مخرب NuGet نشان می‌دهد حتی تغییر یک کاراکتر کوچک می‌تواند به سرقت گسترده اطلاعات منجر شود. توسعه‌دهندگان باید همیشه به منبع رسمی بسته‌ها توجه کنند و از ابزارهای امنیتی برای تحلیل وابستگی‌ها بهره ببرند. برای مطالعه بیشتر، به صفحه حملات زنجیره تأمین نرم‌افزار در روت‌نت مراجعه کنید.