هجوم NPM: قمت بالاختراق، لكن لم يحصل أحد على بيانات المستخدم الخاصة بي

لقد اكتشفت للتو هذا الهجوم الضخم على سلسلة إمداد NPM الذي ضرب نظام JavaScript البيئي، ورجل، لا أستطيع أن أصدق ما حاول هؤلاء الهاكرز القيام به. كان هناك أكثر من 2 مليار تحميل أسبوعي للتطبيقات معرضة للخطر! كشخص لديه أصول تشفير على منصات متعددة، كنت أشعر بالتوتر الشديد عندما سمعت عن ذلك.

عندما رأيت أن بورصتي لم تتأثر، تنفست الصعداء. لقد نشروا على X أن "لا توجد بيانات أو أصول للعملاء في خطر." الحمد لله. بعد كارثة FTX، كنت أشعر بالقلق بشأن أمان البورصة.

كان الهجوم متقدماً إلى حد ما - هؤلاء القراصنة اخترقوا بعض المطورين المسكينين باسم جوش جينون من خلال بريد إلكتروني احتيالي ذكي. جعلوه يعتقد أن حسابه سيتم قفله ما لم يقم بتحديث 2FA الخاص به. حركة كلاسيكية، لكنها فعالة. أكره أن أعترف أنني قد أكون وقعت في الفخ أيضاً.

ما هو مقلق حقًا هو كيفية عمل الشيفرة الخبيثة. لقد استهدفت بشكل محدد معاملات العملات المشفرة، حيث كانت تراقب عناوين المحافظ عبر بيتكوين، إيثيريوم، سولانا، وغيرها. بمجرد اكتشافها، كانت تستبدل بهدوء عنوان الوجهة بمحفظة المهاجم. إنهم أشرار ماكرون.

أكثر جزء مفاجئ؟ فقط $159 من العملات المشفرة تم سرقته حتى الآن. هذا لا شيء! لكن لا تدع ذلك يخدعك - مع مليارات التنزيلات لهذه الحزم المخترقة، كان من الممكن أن يكون هذا كارثياً.

تعليق CZ حقًا كان مؤثرًا: "حتى البرمجيات مفتوحة المصدر ليست آمنة هذه الأيام. Web3 ستعيد تعريف الأمان لـ Web2." من السهل عليه أن يقول ذلك الآن بعد أن تعامل مع مشاكله القانونية، لكنه محق. نحن نثق بشكل أعمى في الكثير من البنية التحتية لدرجة أننا لا نفكر حتى.

هذه الفوضى هي بالضبط السبب الذي يجعلني أحتفظ بمعظم عملاتي المشفرة في التخزين البارد. أمان Web2 معطل بشكل أساسي، ونحن جميعًا ننتظر الهجوم التالي.