استهدفت حزم برمجية ضارة مطوري عملات الإيثيريوم والسولانا بهدف سرقة المفاتيح الخاصة وإرسالها إلى المخترقين. تعتمد هذه الحزم على تقنية “التصيد الإملائي” لمحاكاة مكتبات التشفير الشرعية.
حملة مخططة تستهدف مطوري التشفير
اكتشف باحثو أمن في “سوكيت” خمس حزم ضارة نشرت عبر حساب واحد على منصة “إن بي إم”. تغطي هذه الحملة بيئتي عملات الإيثيريوم والسولانا، وتستخدم بنية تحتية نشطة للتحكم والسيطرة.
تم سحب إحدى الحزم في غضون خمس دقائق، لكنها تمكنت من إخفاء شفرتها وإرسال البيانات المسروقة.
كيف تعمل هجمات سرقة المفاتيح الخاصة؟
لا يستهدف قراصنة العملات الرقمية المستثمرين الأفراد فقط. إنهم يستخدمون أساليب الهندسة الاجتماعية والتصيد الإملائي لخداع مطوري العملات الرقمية وسرقة أصولهم.
تقوم الحزم الضارة بتحويل المفاتيح إلى بوت محدد مسبقاً على تطبيق “تيليجرام”.
آلية الهجوم الخفية
يعمل الهجوم عن طريق اعتراض الوظائف التي يستخدمها المطورون لتمرير المفاتيح الخاصة. عند استدعاء الوظيفة، ترسل الحزمة المفتاح إلى بوت المخترق على تيليجرام قبل إرجاع النتيجة المتوقعة، مما يجعل الهجوم غير مرئي للمطورين.
- أربع حزم تستهدف مطوري سولانا.
- حزمة واحدة تستهدف مطوري إيثيريوم.
التفاصيل التقنية للهجوم
تعترض الحزم الأربع الخاصة بسولانا استدعاءات دالة فك التشفير “Base58 decode()”، بينما تستهدف حزمة “ethersproject-wallet” منشئ محفظة إيثيريوم.
تعتمد جميع الحزم الضارة على خاصية “global fetch”، مما يتطلب إصدار Node.js 18 أو أحدث. في الإصدارات الأقدم، يفشل الطلب بصمت دون سرقة أي بيانات.
جميع الحزم ترسل البيانات إلى نفس العنوان على تيليجرام. رمز البوت ومعرف الدردشة مثبتان في كل حزمة، ولا يوجد خادم خارجي، مما يعني أن القناة تظل نشطة طالما بقي البوت متصلاً.
تحليل الحزم الضارة
تشارك جميع الحزم نفس عنوان الأوامر والأخطاء الإملائية وأدوات البناء. تشير هذه الروابط إلى مخترق واحد يستخدم نفس سير العمل.
تم تقديم طلبات إزالة الحزم إلى منصة “إن بي إم”. المفاتيح الخاصة المسروقة في هذا الهجوم أصبحت معرضة للخطر، ويجب نقل أي أموال مرتبطة بها بسرعة إلى محفظة جديدة.
الأسئلة الشائعة
ما الذي حدث لمطوري إيثيريوم وسولانا؟
تم استهدافهم بحزم برمجية ضارة على منصة “إن بي إم” تسرق المفاتيح الخاصة وترسلها إلى مخترقين عبر تطبيق تيليجرام.
كيف يعمل هذا الهجوم؟
تعترض الحزم الضارة الوظائف التي تمرر المفاتيح الخاصة وترسل نسخة منها إلى المخترق قبل إكمال العملية الطبيعية، مما يجعل السرقة خفية.
ماذا يجب على المطورين فعله؟
فحص الحزم المستخدمة بعناية، والتأكد من مصادرها الرسمية، ونقل أي أموال في محافظ مشتبه بها فوراً إلى محفظة جديدة آمنة.
