کیف‌پول‌های Atomic و Exodus در تیررس مهاجمان؛ آیا بازار رمزارزها تکانی می‌خورد؟

“`persian
## شناسایی و خنثی‌سازی بسته‌های مخرب در کیف‌پول‌های رمزارزی Atomic و Exodus

محققان امنیتی از شناسایی یک بسته نرم‌افزاری مخرب در رجیستری npm خبر داده‌اند که به طور پنهانی نسخه‌های نصب‌شده محلی کیف‌پول‌های رمزارزی Atomic و Exodus را تغییر می‌دهد. این اقدام به مهاجمان اجازه می‌دهد تا تراکنش‌های ارز دیجیتال را رهگیری و مسیر آن‌ها را تغییر دهند. این کمپین از طریق تزریق کد تروجان به نرم‌افزارهای کیف‌پول Atomic و Exodus و سرقت انتقال‌های رمزارزی صورت می‌گیرد.

این حمله بر روی بسته‌ای فریبنده با نام “pdf-to-office” متمرکز بود که به عنوان کتابخانه‌ای برای تبدیل فایل‌های PDF به فرمت‌های آفیس معرفی شده بود. پس از اجرا، این بسته به طور مخفیانه نسخه‌های خاصی از کیف‌پول‌های Atomic و Exodus را در سیستم قربانی پیدا و تغییر می‌دهد. سپس، تراکنش‌های خروجی رمزارزی را به کیف‌پول‌هایی که توسط مهاجمان کنترل می‌شوند، هدایت می‌کند.

شرکت ReversingLabs اظهار داشته است که این کمپین نمونه‌ای از تغییر تاکتیکی گسترده‌تر است. به جای به خطر انداختن مستقیم کتابخانه‌های متن‌باز که اغلب واکنش‌های سریع جامعه را برمی‌انگیزند، مهاجمان به طور فزاینده‌ای بسته‌هایی را توزیع می‌کنند که برای “وصله” کردن نصب‌های محلی نرم‌افزارهای معتبر با بدافزارهای مخفی طراحی شده‌اند.

بسته “pdf-to-office” اولین بار در ماه مارس در npm بارگذاری شد و تا اوایل آوریل چندین بار به‌روزرسانی شد. اسکریپت اصلی آن کد مبهمی را اجرا می‌کرد که به دنبال نصب‌های محلی کیف‌پول Atomic و Exodus می‌گشت و فایل‌های اصلی برنامه را با نسخه‌های مخرب جایگزین می‌کرد.

مهاجمان، فایل‌های JavaScript قانونی را در آرشیو resources/app.asar با نسخه‌های تروجانی مشابه جایگزین کردند که آدرس گیرنده مورد نظر کاربر را با کیف‌پولی متعلق به مهاجم جایگزین می‌کرد.

برای کیف‌پول Atomic، نسخه‌های 2.90.6 و 2.91.5 به طور خاص مورد هدف قرار گرفتند. در همین حال، روشی مشابه برای کیف‌پول Exodus در نسخه‌های 25.9.2 و 25.13.3 اعمال شد.

پس از تغییر، کیف‌پول‌های آلوده حتی در صورت حذف بسته اصلی npm به هدایت بودجه ادامه می‌دهند و برای حذف کد مخرب، حذف و نصب مجدد نرم‌افزار کیف‌پول مورد نیاز است.

این کشف، پیامدهای مهمی برای امنیت زنجیره تأمین نرم‌افزار دارد، به ویژه در محیط‌های Web3 که نصب‌های محلی بسته‌های منبع باز در آن رایج است.

این نوع حملات وصله‌ای همچنان امکان‌پذیر است زیرا پس از نصب بسته و اعمال وصله، تهدید حتی در صورت حذف ماژول اصلی npm نیز باقی می‌ماند. این وضعیت می‌تواند منجر به افزایش آسیب‌پذیری کیف‌پول‌های ارز دیجیتال در برابر حملات شود.

به‌روزرسانی‌های امنیتی و مانیتورینگ مداوم برنامه‌ها برای کاهش خطرات ناشی از این نوع حملات ضروری است.

این حادثه می‌تواند منجر به افزایش احتیاط در بین کاربران و سرمایه‌گذاران ارزهای دیجیتال شود و به‌طور بالقوه بر اعتماد به نرم‌افزارهای کیف پول و فعالیت کلی بازار تأثیر بگذارد.
“`