یک حمله سایبری گسترده به حدود ۳۹۰,۰۰۰ وبسایت وردپرس رخ داده است که در آن اطلاعات حساس از جمله نامکاربری و رمز عبور دزدیده شده و در برخی موارد، سیستمها به استخراج ارز دیجیتال مونرو (Monero) پرداختهاند.
این حمله که تقریبا یک سال به طول انجامید، با استفاده از یک بسته مخرب که در مخزن NPM (یا Node Package Manager) آپلود شده بود، صورت گرفت. ابتدا این بسته بهنظر بیخطر بود، اما در آپدیتهای بعدی، کدهای مخرب به آن اضافه شدند. این کدها بهطور دورهای (هر ۱۲ ساعت) اطلاعات حساس مانند کلیدهای SSH و تاریخچه دستورات Bash را سرقت کرده و آنها را از طریق سرویسهایی مانند Dropbox و File.io به سرقتبردهشده منتقل میکردند.
سرقت اطلاعات صدها هزار سایت وردپرسی
طبق گزارش محققان، این حمله ابتدا بهعنوان یک بسته XML-RPC ظاهرا مشروع منتشر شد، اما در آپدیتهای بعدی، هدف خود را به سرقت اطلاعات ورود به وبسایتهای وردپرس و نصب نرمافزارهای استخراج ارز دیجیتال معطوف کرد. این بسته که بهطور مخفیانه به دستگاههای قربانیان منتقل میشد، باعث شد که دهها سیستم برای استخراج مونرو مورد استفاده قرار گیرند.
محققان از آزمایشگاه امنیتی Datadog و تیم Checkmarx که این حمله را شناسایی کردند، بهطور خاص به هشدار دادهاند که چنین حملاتی میتوانند بهعنوان حملات زنجیره تأمین (supply chain attack) عمل کنند. این حملات از طریق استفاده از نرمافزارهای متنباز، توسعهدهندگان و محققان امنیتی را هدف قرار میدهند، چرا که آنها ممکن است بدون آگاهی، کدهای آلوده را در پروژههای خود وارد کنند.
این حمله، که از سوی گروهی به نام MUT-1224 شناخته شده است، نشاندهنده تهدیدات روزافزون در کدهای متنباز و نیاز به احتیاط بیشتر در استفاده از این ابزارها است. محققان هشدار دادهاند که توسعهدهندگان باید در استفاده از این بستههای نرمافزاری به دقت توجه داشته باشند تا از انتشار حملات مشابه جلوگیری شود.
گجت نیوز