تحذير: فيروس جديد يسرق محافظ العملات الرقمية – اكتشف البرنامج الخبيث المسؤول وكيف تحمي أموالك الآن!
كشفت شركة الأمن السيبراني SlowMist عن مشروع مفتوح المصدر يُدعى “solana-pumpfun-bot”، والذي نُشر على GitHub وجذب انتباه المجتمع، حيث احتوى على مخطط احتيال يستهدف محافظ المستخدمين. وفقًا للشركة، تم سرقة العملات الرقمية من محافظ المستخدمين الذين قاموا بتشغيل المشروع، مع تحويل بعض الأموال إلى منصة تسمى FixedFloat.
كيف تم اكتشاف الحادثة؟
ظهرت الحادثة عندما اتصل أحد المستخدمين المتضررين بفريق SlowMist في 2 يوليو 2025. ووفقًا لبيان المستخدم، سُرقت العملات الرقمية من محفظته بعد أن بدأ في استخدام مشروع “zldp2002/solana-pumpfun-bot” على GitHub في اليوم السابق.
تحليل SlowMist للهجوم
كشف التحليل بعد الحادثة أن المشروع كان يعتمد على Node.js واستخدم حزمة خارجية مشبوهة تُدعى “crypto-layout-utils”. هذه الحزمة غير مسجلة في السجلات الرسمية لـ NPM وتم حذفها من المنصة. وأظهرت التحقيقات أن المطورين الضارين قاموا بتغيير الرابط في ملف package-lock.json لتوجيه المستخدمين إلى تثبيت برمجيات خبيثة.
وأوضح خبراء SlowMist أن الحزمة التي تم تنزيلها، “crypto-layout-utils-1.3.1″، احتوت على أكواد معقدة ومشوشة، وبعد التحليل، تبين أن هذه الأكواد تفحص الملفات التي تحتوي على محافظ ومفاتيح خاصة على جهاز المستخدم وترسل هذه البيانات إلى خادم يتبع للمهاجم باسم “githubshadow.xyz”.
حسابات مزيفة وحزم ضارة أخرى
كما أفاد التحليل بأن مستخدم GitHub (zldp2002)، الذي يُزعم أنه مطور المشروع، يتحكم بعدد كبير من الحسابات المزيفة ويهدف إلى الوصول إلى المزيد من المستخدمين من خلال تفرع المشروع عبر هذه الحسابات. وفي بعض التفرعات، تم استخدام حزمة NPM ضارة أخرى تُدعى “bs58-encrypt-utils-1.0.3”.
تتبع الأموال المسروقة
بعد الحادثة، تتبع فريق SlowMist المهاجمين باستخدام أداة التحليل على السلسلة MistTrack، ووجدوا أن المهاجمين قاموا بتحويل بعض العملات المسروقة إلى منصة FixedFloat. يُعتقد أن الهجوم كان نشطًا منذ 12 يونيو 2025.
نصائح أمنية للمستخدمين
نصحت SlowMist المستخدمين بالحذر الشديد عند تنزيل البرامج من المنصات مفتوحة المصدر مثل GitHub، خاصة في المشاريع التي تتضمن استخدام المفاتيح الخاصة أو عمليات المحفظة. وفي حال الضرورة، يُوصى بتشغيل هذه المشاريع على جهاز معزول لا يحتوي على بيانات حساسة.
*هذه ليست نصيحة استثمارية.
الأسئلة الشائعة
- ما هو المشروع الذي تم اكتشاف احتيال فيه؟
تم اكتشاف مخطط احتيال في مشروع مفتوح المصدر على GitHub يُدعى “solana-pumpfun-bot”، والذي استهدف محافظ المستخدمين وسرقة عملاتهم الرقمية. - كيف تم تنفيذ الهجوم؟
استخدم المهاجمون حزمة خارجية ضارة تُدعى “crypto-layout-utils” لسرقة بيانات المحافظ والمفاتيح الخاصة من أجهزة المستخدمين وإرسالها إلى خادم تابع لهم. - ما هي النصيحة الأمنية لتجنب مثل هذه الهجمات؟
يجب على المستخدمين توخي الحذر عند تنزيل البرامج من GitHub وتشغيل المشاريع المشبوهة على أجهزة معزولة لا تحتوي على بيانات حساسة.
