تحذير | فريق الأمان في KuCoin يعثر على هجوم سلسلة إمداد يستهدف مستخدمي منصة التداول

في 12 فبراير 2025، اكتشف فريق الأمان في KuCoin هجومًا على سلسلة التوريد يستهدف مستخدمي أكبر منصات التداول المركزية (CEXs) من خلال منصته الخاصة لمسح الأمان. أجاب الفريق بسرعة وحلل السلوكيات الخبيثة المدمجة في حزمة الاعتماد. حتى الآن، تم تنزيل الاعتماد الخبيث مئات المرات. قام فريق الأمان في KuCoin بالإبلاغ عن الاعتماد الخبيث إلى فريق NPM الرسمي وينشر هذا التحذير لتحذير المستخدمين من البقاء في حالة تأهب. 

سلوكيات عينة 

أكد منصة التحقق من الأمان الخاصة بكوين أن حزمة اعتمادية تظاهرت بأنها Kucoin API SDK تم اكتشافها في مستودع NPM الرسمي. عند تثبيتها عبر npm، تقوم هذه الحزمة بجمع المفاتيح السرية المخزنة على خادم المستخدم أو جهازه المحلي وإرسالها إلى النطاق الضار: http://ihlkoqayjlegsltkrlhf1sg6hpfdbmrgy[.]oast[.]fun

تحليل عينة

أظهرت التحليلات من خلال منصة KuCoin لفحص الساند بوكس أن هذه الاعتمادية الضارة كانت تدّعي أنها حزم اعتماد SDK مرتبطة بـ KuCoin و Kraken على مستودع NPM الرسمي.

تعتمد هذه الأنواع من الاعتماديات أسماء مشوهة لخداع المستخدمين لتنزيل حزم اعتمادية وهمية. أثناء عملية التثبيت، تقوم بتضمين أوامر خبيثة تُستخرج ملفات مفاتيح سرية من بيئة المستخدم المحلية أو الخادم وإرسال البيانات إلى مجال خبيث عبر DNSlog.

النقطة المحددة التي تُشَغِّلُ سلوكًا ضارًا هي كالتالي: تُنفَّذُ الأوامر الضارة أثناء مرحلة ما قبل التثبيت لحزمة الاعتماد.

يُظهِر جميع حزم الاعتماد الـ 10 في مستودع هذا المصدر الضار السلوك نفسه. 

ملف المهاجم 

أظهرت التحقيقات التفاصيل التالية للتسجيل المرتبطة بالهاكر في مستودع NPM الرسمي: 

اسم المستخدم: superhotuser1
البريد الإلكتروني: tafes30513@shouxs[.]com 

بحسب موقع verifymail.io، يرتبط المجال shouxs[.]com بخدمات البريد الإلكتروني المؤقت، مما يشير إلى أن المهاجم هو مُبرمج خبير مُلم بالتقنيات المضادة للمتتبعين.

وصف التهديد 

تُعد هجمات سلسلة التوريد خطراً كبيراً. مع تطورها، تتوسع تأثيراتها، نظراً لاعتماد العديد من المشاريع على حزم طرف ثالث عديدة. بمجرد نشر حزمة خبيثة واستخدامها على نطاق واسع، تنتشر تأثيراتها بسرعة. يمكن للعتمات الخبيثة سرقة معلومات المستخدم الحساسة، مثل المتغيرات البيئية، مفاتيح API، وبيانات المستخدم، مما يؤدي إلى تسرب البيانات. كما أنها يمكن أن تؤدي إلى تنفيذ إجراءات مدمرة مثل حذف الملفات، تشفير البيانات (البرامج الفدية)، أو تعطيل النظام. علاوة على ذلك، يمكن للهاكرز زرع أبواب خلفية داخل الحزمة، مما يسمح لهم بتحقيق سيطرة طويلة الأمد على الأنظمة المتأثرة وتفعيل هجمات إضافية. 

تستهدف الاعتماديات الخبيثة Kucoin و Kraken تحديدًا مفاتيح تسجيل دخول المستخدمين. إذا سجل المستخدمون الدخول إلى أجهزة الكمبيوتر الشخصية أو الخوادم باستخدام أسماء المستخدمين وكلمات المرور، فإن هناك خطرًا كبيرًا أن تُخترق خوادمهم. 

في الوقت الذي أصدرت فيه فريق الأمان في KuCoin هذه التحذير، تم تنزيل الاعتماد الضار مئات المرات. والإحصائيات الخاصة بالتنزيلات كالتالي: 

كوكون-الإنتاج، تحميلات: 67
كوين-رئيسي، التحميلات: 70
كوين-داخلي، تحميلات: 63
كوين-تست، تحميلات: 69
كوكون-ديف، التحميلات: 66 

kraken-dev، التحميلات: 70
كرنفال-ماين، تحميلات: 65
kraken-production، التحميلات: 67
kraken-test، التحميلات: 65
كرنفال (carnival)، تحميلات: 64 

IOC 

من اللحظة التي قام المهاجم بتحميل الاعتماد الضار حتى اللحظة التي اكتشفتها بها فريق أمن Kucoin، لم يمر يوم واحد فقط. لقد قام فريق أمن Kucoin بالفعل بالإبلاغ عن المشكلة إلى فريق NPM الرسمي، على الرغم من أن التحقيق وال удал قد يستغرق بعض الوقت. في هذه الأثناء، أصدر Kucoin هذا التحذير العام لتنبيه المستخدمين ومساعدة منع التعرض.

اخلاء المسؤوليه: تُرجمت هذه الصفحة باستخدام تقنية الذكاء الاصطناعي (المدعومة من GPT) لراحتك. للحصول على المعلومات الأكثر دقة، ارجع إلى النسخة الإنجليزية الأصلية.