امن وحماية المعلومات

مهاجمون يوزعون برامج سرقة البيانات على مستخدمي بوت تداول Polymarket ومطوري DeFi عبر حزم npm

اخترق قراصنة الإنترنت سوق التوقعات “بولي ماركت” (Polymarket) على موقع “جيت هاب” (GitHub) باستخدام روبوت تداول مزيف. كان هذا الروبوت يخفي برامج ضارة تسرق بيانات حساسة مثل مفاتيح المحافظ وكلمات مرور المتصفح.

كيف انتشر الروبوت المزيف بين أكثر من 53 مطوراً؟

في 1 يوليو 2026، كشفت شركة الأمن “سلوميست” (SlowMist) عن روبوت تداول مزيف وعد بأرباح كبيرة على “بولي ماركت”، لكنه كان في الحقيقة مجرد أداة لنشر البرامج الضارة. اكتشفت شركة “سيف ديب” (SafeDep) 30 حزمة ضارة على “إن بي إم” (npm) موزعة عبر عدة حسابات، وكلها مرتبطة بمستودع مزيف واحد على “جيت هاب”.

نشر المجرمون روبوتاً اسمه “polymarket-arbitrage-bot” وادعوا أنه يحقق أكثر من 80,000 دولار سنوياً. حصل الروبوت على 36 نجمة و53 نسخة قبل اكتشاف الاحتيال. كل مطور قام بتحميله وتثبيته تعرض للبرامج الضارة.

  • المتسللون كانوا يعلمون أن روبوتات التداول الحقيقية حققت أرباحاً ضخمة على “بولي ماركت”
  • روبوت حقيقي واحد حول 313 دولاراً إلى 414,000 دولار في شهر واحد
  • روبوت آخر حقق 2.2 مليون دولار خلال شهرين
  • هذه الأرقام جعلت الروبوت المزيف يبدو حقيقياً للمتداولين الباحثين عن أرباح سهلة

ماذا تسرق البرامج الضارة بالضبط؟

تعليمات هذا الروبوت المزيف كانت تطلب من المستخدمين وضع مفتاح “بولي ماركت” الخاص في ملف “.env” قبل تشغيل أمر “npm install”. أثناء التثبيت، كان يتم تشغيل البرنامج الضار المخفي داخل حزمة تدعى “clob-client-math”.

البرنامج الضار يسرق بيانات حساسة جداً، منها:

  • مفاتيح المحافظ الرقمية
  • كلمات مرور المتصفح
  • بيانات اعتماد خدمات “أمازون ويب سيرفيسز” (AWS)
  • مفاتيح “إس إس إتش” (SSH)
  • رموز “إيه بي آي” (API)

ماذا تفعل إذا قمت بتحميل الروبوت المزيف؟

يعتقد باحثو الأمن أن قراصنة كوريين شماليين يقفون وراء هذا الهجوم. المجموعة تشن حملة أكبر تسمى “كونتاجيوس تريدر” (Contagious Trader) تستهدف مطوري العملات الرقمية.

في مارس الماضي، استولى قراصنة على حساب مطور منصة “أكسيوس” (Axios) ونشروا حزم “إن بي إم” ضارة. وفي مايو، تم استخدام حساب مخترق للاستيلاء على 323 حزمة في أقل من 30 دقيقة.

تعرض مستخدمو “بولي ماركت” لهجمات أخرى هذا العام، ففي أواخر يونيو، سرق هجوم تصيد 2.94 مليون دولار من 11 حساباً على الأقل.

تقول شركة “سيف ديب” إن أي جهاز قام بتشغيل أمر “npm install” على الروبوت المزيف يجب اعتباره مخترقاً. ينصح هؤلاء الأشخاص بـ:

  • تغيير جميع مفاتيح المحافظ الرقمية فوراً
  • تغيير كل كلمة مرور مخزنة في المتصفح
  • استبدال جميع بيانات اعتماد “أمازون ويب سيرفيسز”
  • تغيير مفاتيح “إس إس إتش” ورموز “إيه بي آي”

كما ينصح المتداولون بفحص ملفات “npm lock” الخاصة بهم بحثاً عن الحزم الضارة الثلاثين. الطريقة هي البحث عن تبعيات تظهر في ملف “package.json” لكنها لا تستخدم أبداً في الكود الفعلي. في هذا الهجوم، كان ملف “package.json” يحتوي على أربع تبعيات، لكن ثلاثاً منها فقط كانت حقيقية، أما الرابعة “clob-client-math” التي تخفي البرنامج الضار فلم يتم استيرادها أبداً في أي مكان في كود الروبوت.

أفضل وسيلة دفاع هي التحقق مما إذا كانت الحزم تأتي من حسابات جديدة ليس لها تاريخ نشر سابق، لأن جميع الحزم المزيفة نُشرت بواسطة حسابات جديدة تماماً.

أسئلة شائعة

س: هل أموالي في “بولي ماركت” آمنة بعد هذا الهجوم؟

ج: إذا لم تقم بتحميل أو تثبيت الروبوت المزيف، فحسابك آمن. الهجوم استهدف فقط المطورين الذين قاموا بتثبيت الحزم الضارة. لكن من الجيد دائماً استخدام محافظ أجهزة وتفعيل المصادقة الثنائية لحماية إضافية.

س: كيف أتأكد من أنني لم أتأثر بالهجوم؟

ج: افحص ملف “package.json” في أي مشروع “نود جي إس” (Node.js) لديك. ابحث عن حزمة “clob-client-math” أو أي حزمة غير مألوفة. إذا وجدتها، فجهازك مخترق ويجب تغيير جميع كلمات المرور والمفاتيح فوراً.

س: هل تؤثر هذه الهجمات على سوق “بولي ماركت” بشكل عام؟

ج: الهجمات تستهدف الأفراد وليس المنصة نفسها. “بولي ماركت” كمنصة لا تزال آمنة، لكن المستخدمين يجب أن يكونوا حذرين من الروبوتات المزيفة وروابط التصيد. الهجمات تذكرنا بأهمية التحقق من أي برنامج قبل تثبيته، خاصة إذا وعد بأرباح سريعة.

حكيم العملات

خبير استراتيجي في سوق العملات الرقمية، يشارك بانتظام نصائح واستراتيجيات مستنيرة للتداول والاستثمار الناجح.
زر الذهاب إلى الأعلى