امن وحماية المعلومات

اكتشاف SlowMist لشفرة خبيثة في بوت “Solana-pumpfun-bot” على GitHub – تعرف على التفاصيل الآن!

صورة مستكشف الكريبتو مستكشف الكريبتو4 يوليو، 2025آخر تحديث: 4 يوليو، 2025
2 دقائق
اكتشاف SlowMist لشفرة خبيثة في بوت "Solana-pumpfun-bot" على GitHub – تعرف على التفاصيل الآن!

كشفت شركة SlowMist عن أن المشروع المفتوح المصدر الشهير “Solana-pumpfun-bot” على منصة GitHub يحتوي على كود خبيث يسرق العملات الرقمية من محافظ المستخدمين.

بداية التحقيق

بدأ التحقيق في 2 يوليو 2025، عندما اتصل أحد الضحايا بفريق الأمان في SlowMist لتحليل أسباب سرقة أصول محفظته. وتبين أن الحادث نتج عن استخدامه لمشروع مفتوح المصدر على GitHub قبل يوم من السرقة، حيث تم تحويل الأصول المسروقة إلى بورصة FixedFloat.

المشتبه به الرئيسي

قام المخترق بانتحال صفة مشروع رسمي مفتوح المصدر (solana-pumpfun-bot) لجذب المستخدمين لتنزيل وتشغيل كود ضار. وتم اكتشاف حزمة مشبوهة تسمى “crypto-layout-utils” تم حذفها من مصدر NPM الرسمي أثناء التحقيق.

مقالات ذات صلة
اكتشاف SlowMist لشفرة خبيثة في بوت "Solana-pumpfun-bot" على GitHub – تعرف على التفاصيل الآن!

قام المخترق لاحقًا بتحميل نسخة ضارة من البرنامج بدلاً من الرابط الأصلي للتنزيل. وكان هذا البرنامج يرسل البيانات الحساسة إلى خادم يتحكم فيه المهاجم بعد البحث عن ملفات المحفظة على جهاز الضحية.

شبكة من الحسابات المزيفة

كشف التحقيق أن مؤلف المشروع يُشتبه في أنه يتحكم في عدة حسابات على GitHub، تم استخدامها لنشر مشاريع ضارة وزيادة شعبية المشروع بشكل مصطنع. كما تم تحديد عدة مشاريع مماثلة تستخدم حزمة ضارة أخرى تسمى “bs58-encrypt-utils”.

تضمنت سلسلة الهجوم هذه تعاون عدة حسابات على GitHub لزيادة نطاق الانتشار وتعزيز المصداقية، مما يجعلها خدعة معقدة. كما جمعت هذه الهجمة بين الهندسة الاجتماعية والأساليب التقنية، مما يجعل من الصعب على المنظمات التصدي لها بالكامل.

بداية النشاط الضار

يعتقد أن النشاط الضار بدأ في 12 يونيو 2025، عندما قام المهاجم بإنشاء الحزمة الخبيثة “bs58-encrypt-utils”.

تطور أساليب الاختراق

وفقًا لـ SlowMist، فإن تقنيات اختراق العملات الرقمية لم تتطور كثيرًا، لكنها أصبحت أكثر مكرًا. صرحت ليزا، رئيسة العمليات في SlowMist، في تقرير Q2 لتحليل الأموال المسروقة أن عمليات الاحتيال أصبحت أكثر تعقيدًا.

وأضافت: “نلاحظ تحولًا واضحًا من الهجمات السلسلة البحتة إلى نقاط الدخول خارج السلسلة — مثل امتدادات المتصفح المزيفة ومحافظ الأجهزة المخترقة وهجمات الهندسة الاجتماعية.”

على سبيل المثال، يوجه المهاجمون المستخدمين لزيارة مواقع شهيرة مثل Notion أو Zoom، ولكن عند محاولة تنزيل البرامج، يتم استبدال الملفات بأخرى ضارة.

أسلوب آخر هو إرسال محافظ باردة مخترقة للمستخدمين عبر ادعاء فوزهم بجهاز مجاني أو تنبيههم باختراق أجهزتهم الحالية. كما أنشأ المخترقون مواقع ويب مزيفة لخداع الضحايا.

وأوضحت ليزا: “يعرف المهاجمون أن عبارات مثل ‘تم اكتشاف توقيع خطير’ يمكن أن تسبب الذعر، مما يدفع المستخدمين لاتخاذ إجراءات متسرعة. وبمجرد استهداف الحالة العاطفية، يصبح التلاعب بهم أسهل.”

هجمات أخرى

شملت هجمات أخرى استغلال ثغرة في EIP-7702 المضافة في آخر تحديث لـ Ethereum Pectra. كما استهدفت هجمات أخرى حسابات مستخدمين على WeChat. وفقًا لـ SlowMist، تصدرت Ethereum قائمة الخسائر الأمنية في النصف الأول من 2025، حيث خسرت منصات DeFi حوالي 470 مليون دولار.

الأسئلة الشائعة

  • ما هو المشروع الذي تم اختراقه؟
    تم اختراق المشروع المفتوح المصدر “Solana-pumpfun-bot” على GitHub، حيث كان يحتوي على كود ضار يسرق العملات الرقمية.
  • كيف حدثت السرقة؟
    قام المخترقون بنشر حزمة ضارة عبر GitHub، تبحث عن ملفات المحفظة على أجهزة الضحايا وترسل البيانات إلى خادم يتحكمون فيه.
  • ما هي النصيحة لتجنب مثل هذه الهجمات؟
    يجب التحقق من مصدر أي مشروع مفتوح المصدر قبل استخدامه، وتجنب تنزيل ملفات من روابط غير موثوقة، واستخدام محافظ أجهزة آمنة.

صورة مستكشف الكريبتو مستكشف الكريبتو4 يوليو، 2025آخر تحديث: 4 يوليو، 2025
2 دقائق
صورة مستكشف الكريبتو

مستكشف الكريبتو

باحث في تقنيات البلوكتشين والعملات الرقمية، يركز على اكتشاف تقنيات التشفير الجديدة وتقديم معلومات مفيدة للمجتمع.
زر الذهاب إلى الأعلى