يتجه القراصنة الآن بعيداً عن الخوادم التقليدية ويستخدمون أنظمة لا مركزية لمهاجمة المطورين وسرقة أموالهم الرقمية. فهم يستبدلون خوادم التحكم التقليدية تماماً بخيارات لا مركزية.
هجوم جديد يستغل بلوكشين سولانا
في هذا الهجوم، يتم إساءة استخدام بلوكشين سولانا. حيث يستخدم البرنامج الضار حقل “المذكرة” في معاملات سولانا لتشغيل برامج خبيثة تسرق بيانات محافظ العملات المشفرة، وحتى عبارات استعادة المحافظ المادية.
صُمم حقل المذكرة في الأصل لإضافة ملاحظات بسيطة على المعاملات، لكن المهاجمين يستخدمونه الآن كطبقة اتصال خفية. وهذا يحول ميزة عامة في البلوكشين إلى قناة سرية للتحكم بالبرامج الضارة.
مذكرات البلوكشين اللا مركزية مثل الموجودة في سولانا تكون عامة ودائمة ولا يمكن لأي طرف إزالتها. بالإضافة إلى ذلك، يمكن للمهاجمين تحديث التعليمات دون الحاجة لتغيير البرنامج الضار نفسه.
يعتبر هذا الحملة نسخة جديدة من برنامج “GlassWorm” الضار، الذي كان نشطاً منذ عام 2022 على الأقل.
كيف يعمل الهجوم خطوة بخطوة
وفقاً لباحثي الأمن في Aikido، فإن الهجوم له ثلاث مراحل رئيسية:
- المرحلة الأولى: تبدأ عندما يقوم مطور بتثبيت حزمة برمجية خبيثة من مستودعات مفتوحة المصدر مثل npm أو PyPI. يتحقق البرنامج الضار أولاً من لغة النظام، وإذا كانت روسية يتوقف عن العمل (ربما لأن المهاجمين روس ولا يريدون المشاكل). بعد التثبيت، يستخدم البرنامج بلوكشين سولانا للعثور على عنوان خادم التحكم الخاص بالمهاجم من خلال البحث عن معاملة محددة تحتوي على العنوان في حقل المذكرة.
- المرحلة الثانية: يتصل البرنامج الضار بخادم التحكم ويبدأ في البحث عن بيانات العملات المشفرة مثل العبارات السرية والمفاتيح الخاصة ولقطات شاشة المحافظ. يستهدف محافظ المتصفحات مثل ميتاماسك وفانتوم وكوينبييس وإكسودس.
- المرحلة الثالثة: تنقسم إلى جزأين: جزء يبحث عن المحافظ المادية مثل ليدجر وتروزور ويعرض رسالة خطأ مزيفة لخداع المستخدم وإدخال عبارة الاستعادة. والجزء الآخر هو برنامج خبيث يسرق بيانات المتصفح في الوقت الفعلي ويتنكر كإضافة لمتصفح كروم.
لماذا يصعب إيقاف هذا الهجوم؟
من الصعب إزالة برنامج GlassWorm الضار لأنه يمكنه إعادة تنزيل نفسه والبقاء حتى بعد إعادة تشغيل الجهاز. كما يستخدم طرقاً بديلة مثل البحث في جداول التجزئة الموزعة (DHT) ومذكرات سولانا للعثور على خادم التحكم.
نظراً لعدم وجود خادم مركزي، وتوزع البيانات على العديد من أجهزة الكمبيوتر، يصبح من الصعب على المدافعين حجب الهجوم على مستوى الشبكة.
الأسئلة الشائعة
ما الجديد في هذا الهجوم على العملات المشفرة؟
يستخدم الهجوم بلوكشين سولانا اللا مركزي نفسه كقناة خفية للتحكم في البرامج الضارة وسرقة بيانات المحافظ، بدلاً من الاعتماد على خوادم تقليدية يمكن إغلاقها.
كيف يحمي المستخدمون أنفسهم؟
يجب على المطورين والمستخدمين توخي الحذر الشديد عند تثبيت حزم برمجية من مصادر غير موثوقة، وعدم إدخال عبارات استعادة المحفظة المادية إلا في الجهاز نفسه، واستخدام برامج مكافحة فيروسات محدّثة.
لماذا يصعب تتبع هذا الهجوم وإيقافه؟
لأنه يستخدم تقنية البلوكشين العامة والدائمة (مثل مذكرات سولانا) للتواصل، مما يعني عدم وجود نقطة مركزية واحدة يمكن حظرها، والبيانات موزعة ولا يمكن حذفها.
