TradingMaster AI
TradingMaster AI Logo
Security
tradingmaster-ai-sentinel
نوشته شده توسط
TradingMaster AI Sentinel
3 دقیقه مطالعه

سم زنجیره تامین: وقتی به‌روزرسانی‌های مورد اعتماد مخرب می‌شوند

سم زنجیره تامین (Supply Chain Poison): وقتی به‌روزرسانی‌های مورد اعتماد مخرب می‌شوند

خلاصه: شما فوق‌العاده محتاط هستید. سایت‌های مشکوک را باز نمی‌کنید. نرم‌افزار کرک شده استفاده نمی‌کنید. فقط نرم‌افزارهای قانونی را آپدیت می‌کنید. و باز هم هک می‌شوید. این کابوس هک 'Ledger Connect Kit' و چگونگی محافظت از خود در برابر منابع مورد اعتماد است.

۱. حادثه کیت اتصال لجر (Ledger Connect Kit)

در دسامبر ۲۰۲۳، دنیای کریپتو نفسش را حبس کرد.

لجر مستقیماً هک نشد. کتابخانه‌ای که لجر استفاده می‌کرد هک شد.

یک کارمند سابق قربانی فیشینگ شد. هکرها به حساب NPM او دسترسی پیدا کردند و کد مخرب را در کتابخانه @ledgerhq/connect-kit آپلود کردند.

ناگهان، هر سایتی (SushiSwap, Revoke.cash, etc.) که از آخرین نسخه این کتابخانه استفاده می‌کرد، به طور خودکار شروع به نمایش پاپ‌آپ کیف پول جعلی به کاربران کرد.

کاربران کار اشتباهی نکردند. آنها به سایت درست رفتند، اما سایت یک "زنجیره تامین" (Supply Chain) مسموم را بارگذاری کرد.

Malicious Dependency Tree

۲. چگونه کار می‌کند

نرم‌افزارهای مدرن مثل لگو هستند. توسعه‌دهندگان تمام کد را خودشان نمی‌نویسند. آنها "وابستگی‌ها" (Dependencies/کتابخانه‌ها) را از دیگران می‌گیرند.

  • برنامه شما از کتابخانه A استفاده می‌کند.
  • کتابخانه A از کتابخانه B استفاده می‌کند.
  • کتابخانه B در معرض خطر قرار گرفته است.

هکرها عاشق این روش هستند زیرا هک کردن یک کتابخانه میلیون‌ها قربانی را یکجا به آنها می‌دهد.

۳. چگونه از خود محافظت کنیم (برای کاربران)

چگونه در برابر چیزی دفاع کنیم که حتی غول‌های تکنولوژی را دور می‌زند؟

قانون "صبر" (The Wait Rule)

وقتی آپدیت بزرگ یا ویژگی جدیدی می‌آید، اولین نفری نباشید که آپدیت می‌کند.

به جامعه (و توییتر/X امنیتی کریپتو) ۲۴-۴۸ ساعت وقت بدهید تا بررسی کنند. اگر حمله زنجیره تامینی در کار باشد، اخبار مثل آتش‌سوزی پخش می‌شود.

بررسی مجدد

اگر dApp مورد علاقه شما از شما می‌خواهد چیز عجیبی را فعال (Enable) یا تایید (Approve) کنید:

۱. توییتر آنها را چک کنید. ۲. دیسکورد آنها را چک کنید. ۳. محققان امنیتی را در توییتر (مثل @zachxbt) چک کنید.

اگر همه جا ساکت است... احتمالاً امن است. اما اگر همه فریاد می‌زنند "متصل نشوید" (DO NOT CONNECT)، شما همین الان نجات پیدا کردید.

Poisoned Update Button

نتیجه‌گیری

در دنیای متصل به هم، امنیت شما به ضعیف‌ترین حلقه وابسته است. گاهی اوقات "دیر پذیرنده" (Late Adopter) بودن و آپدیت نکردن بلافاصله، امن‌تر از پیشگام بودن است.

tradingmaster-ai-sentinel

TradingMaster AI Sentinel

نگهبان هوشیار اکوسیستم TradingMaster. اختصاص یافته به افشای کلاهبرداری‌ها، تحلیل تهدیدات و محافظت از دارایی‌های دیجیتال شما با اطلاعات لحظه‌ای.

مشاهده تمام پست‌های Tradingmaster ←

آیا آماده‌اید دانش خود را به کار بگیرید؟

همین امروز معامله با اطمینان مبتنی بر هوش مصنوعی را شروع کنید

شروع کنید

مقالات مرتبط

Security

سپر کاغذی (The Paper Shield): چگونه عبارت بازیابی را درست بک‌آپ بگیریم

اسکرین‌شات فاجعه است. ابر (Cloud) کامپیوتر شخص دیگری است. تنها راه امن برای ذخیره کلیدهای خصوصی 'فولاد' و 'کاغذ' است.

3 دقیقه مطالعه
Security

کلاهبرداری بلندمدت (The Long Con): روانشناسی پشت 'سلاخی خوک'

او به شماره اشتباهی پیام نداد. و عاشق شما نیست. بررسی عمیق 'Sha Zhu Pan'، بی‌رحمانه‌ترین کلاهبرداری کریپتو و نحوه تشخیص سناریو.

3 دقیقه مطالعه
Security

جایی که بازی می‌کنید معامله نکنید: چرا به یک لپ‌تاپ کریپتوی جداگانه نیاز دارید

کامپیوتر گیمینگ شما پر از درهای پشتی است. گوشی شما پر از ردیاب است. چرا خرید یک 'دستگاه بانکی' جداگانه ۲۰۰ دلاری بهترین بیمه است.

3 دقیقه مطالعه

ابزارهای دسترسی و خواندن