تحليل حادثة سرقة أصول مستخدمي Solana بسبب حزمة NPM خبيثة تسرق المفتاح الخاص
في 2 يوليو 2025، طلب أحد المستخدمين المساعدة من فريق الأمان لتحليل سبب سرقة أصوله المشفرة. بدأت الحادثة عندما استخدم هذا المستخدم مشروعًا مفتوح المصدر مستضافًا على GitHub في اليوم السابق.
بدأ فريق الأمان التحقيق على الفور. بعد زيارة مستودع GitHub الخاص بالمشروع، تم اكتشاف أنه على الرغم من العدد المرتفع من النجوم والتفرعات، إلا أن توقيت تقديم الكود يتركز في قبل ثلاثة أسابيع، مما يظهر خصائص غير طبيعية، ويفتقر إلى المسار المستمر الذي ينبغي أن يتمتع به المشروع الطبيعي.
كفريق أمني لمشروع يعتمد على Node.js، قام الفريق أولاً بتحليل حزم التبعية الخاصة به. ووجدوا أن المشروع يستعين بحزمة طرف ثالث تُدعى crypto-layout-utils، والتي تمت إزالتها من قبل NPM، كما أن النسخة المحددة في package.json لم تظهر في السجل التاريخي الرسمي لـ NPM.
أظهرت التحقيقات الإضافية أن المهاجمين قاموا باستبدال رابط تنزيل crypto-layout-utils في ملف package-lock.json بعنوان مستودع GitHub الذي يتحكمون به. بعد تنزيل وتحليل هذه الحزمة المشبوهة، تم اكتشاف أن كودها قد تم تشويهه بشكل كبير.
بعد فك التشويش، تأكدنا من أن هذه حزمة NPM ضارة. قام المهاجم بتنفيذ منطق مسح ملفات الكمبيوتر الخاصة بالمستخدم في الحزمة، وعندما يتم اكتشاف محتوى يتعلق بالمحفظة أو المفتاح الخاص، سيتم تحميله إلى خادم يتحكم فيه المهاجم.
يبدو أن مؤلف المشروع يتحكم في مجموعة من حسابات GitHub، لاستخدامها في Fork مشاريع خبيثة وتوزيعها، بينما يزيد عدد Fork و Star للمشاريع، مما يجذب المزيد من اهتمام المستخدمين، ويوسع نطاق انتشار البرمجيات الضارة.
اكتشف فريق الأمان أيضًا أن العديد من مشاريع Fork تعاني من سلوكيات خبيثة مماثلة، حيث استخدمت بعض الإصدارات حزمة خبيثة أخرى وهي bs58-encrypt-utils-1.0.3. تم إنشاء هذه الحزمة الخبيثة في 12 يونيو 2025، ويُعتقد أن المهاجمين بدأوا في توزيع حزم NPM الخبيثة ومشاريع Node.js منذ ذلك الحين.
من خلال أدوات تحليل السلسلة، تم تتبع اكتشاف أن المهاجمين قاموا بنقل الأموال المسروقة إلى منصة تداول معينة.
في هذا الهجوم، تظاهر المهاجم بأنه مشروع مفتوح المصدر شرعي، مما أدى إلى خداع المستخدمين لتنزيل وتشغيل الشيفرة الخبيثة. قام المهاجم بزيادة شعبية المشروع بشكل مصطنع، مما جعل المستخدمين يقومون بتشغيل مشاريع Node.js التي تحتوي على تبعيات خبيثة دون أي حذر، مما أدى إلى تسرب المفاتيح الخاصة ومحفظة الأصول المسروقة.
تشمل الهجمات تنسيق عمليات متعددة عبر حسابات GitHub، مما يزيد من نطاق الانتشار ويعزز من المصداقية، ويتميز بخداع قوي. تجمع هذه الأنواع من الهجمات بين الهندسة الاجتماعية والأساليب التقنية، مما يجعل من الصعب الدفاع ضدها تمامًا حتى داخل المنظمة.
ينبغي على المطورين والمستخدمين أن يبقوا في حالة تأهب عالية تجاه مشاريع GitHub غير المعروفة، خاصةً عندما يتعلق الأمر بمحافظ أو عمليات المفتاح الخاص. إذا كان من الضروري تشغيل تصحيح الأخطاء، يُنصح بالقيام بذلك في بيئة مستقلة وخالية من البيانات الحساسة.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
تسجيلات الإعجاب 16
أعجبني
16
6
مشاركة
تعليق
0/400
ForeverBuyingDips
· منذ 13 س
مرة أخرى تم خداع الناس لتحقيق الربح.
شاهد النسخة الأصليةرد0
MetaMuskRat
· منذ 13 س
من بين الكراث ، الشخص الذي يعاني أكثر هو حفلة النجوم
شاهد النسخة الأصليةرد0
GateUser-beba108d
· منذ 13 س
又有حمقى被خداع الناس لتحقيق الربح咯~
شاهد النسخة الأصليةرد0
WalletDivorcer
· منذ 13 س
تمت سرقة كل المال، لذا يعتبر الأمر كأنه لعب بلا فائدة.
شاهد النسخة الأصليةرد0
MiningDisasterSurvivor
· منذ 13 س
مرة أخرى تم خداع الحمقى، كما هو الحال بالضبط مع فخ عام 2018
حزمة NPM خبيثة تسرق المفتاح الخاص لمستخدمي Solana، المهاجمون يتظاهرون بمشاريع مفتوحة المصدر لتنفيذ السرقة.
تحليل حادثة سرقة أصول مستخدمي Solana بسبب حزمة NPM خبيثة تسرق المفتاح الخاص
في 2 يوليو 2025، طلب أحد المستخدمين المساعدة من فريق الأمان لتحليل سبب سرقة أصوله المشفرة. بدأت الحادثة عندما استخدم هذا المستخدم مشروعًا مفتوح المصدر مستضافًا على GitHub في اليوم السابق.
بدأ فريق الأمان التحقيق على الفور. بعد زيارة مستودع GitHub الخاص بالمشروع، تم اكتشاف أنه على الرغم من العدد المرتفع من النجوم والتفرعات، إلا أن توقيت تقديم الكود يتركز في قبل ثلاثة أسابيع، مما يظهر خصائص غير طبيعية، ويفتقر إلى المسار المستمر الذي ينبغي أن يتمتع به المشروع الطبيعي.
كفريق أمني لمشروع يعتمد على Node.js، قام الفريق أولاً بتحليل حزم التبعية الخاصة به. ووجدوا أن المشروع يستعين بحزمة طرف ثالث تُدعى crypto-layout-utils، والتي تمت إزالتها من قبل NPM، كما أن النسخة المحددة في package.json لم تظهر في السجل التاريخي الرسمي لـ NPM.
أظهرت التحقيقات الإضافية أن المهاجمين قاموا باستبدال رابط تنزيل crypto-layout-utils في ملف package-lock.json بعنوان مستودع GitHub الذي يتحكمون به. بعد تنزيل وتحليل هذه الحزمة المشبوهة، تم اكتشاف أن كودها قد تم تشويهه بشكل كبير.
بعد فك التشويش، تأكدنا من أن هذه حزمة NPM ضارة. قام المهاجم بتنفيذ منطق مسح ملفات الكمبيوتر الخاصة بالمستخدم في الحزمة، وعندما يتم اكتشاف محتوى يتعلق بالمحفظة أو المفتاح الخاص، سيتم تحميله إلى خادم يتحكم فيه المهاجم.
يبدو أن مؤلف المشروع يتحكم في مجموعة من حسابات GitHub، لاستخدامها في Fork مشاريع خبيثة وتوزيعها، بينما يزيد عدد Fork و Star للمشاريع، مما يجذب المزيد من اهتمام المستخدمين، ويوسع نطاق انتشار البرمجيات الضارة.
اكتشف فريق الأمان أيضًا أن العديد من مشاريع Fork تعاني من سلوكيات خبيثة مماثلة، حيث استخدمت بعض الإصدارات حزمة خبيثة أخرى وهي bs58-encrypt-utils-1.0.3. تم إنشاء هذه الحزمة الخبيثة في 12 يونيو 2025، ويُعتقد أن المهاجمين بدأوا في توزيع حزم NPM الخبيثة ومشاريع Node.js منذ ذلك الحين.
من خلال أدوات تحليل السلسلة، تم تتبع اكتشاف أن المهاجمين قاموا بنقل الأموال المسروقة إلى منصة تداول معينة.
في هذا الهجوم، تظاهر المهاجم بأنه مشروع مفتوح المصدر شرعي، مما أدى إلى خداع المستخدمين لتنزيل وتشغيل الشيفرة الخبيثة. قام المهاجم بزيادة شعبية المشروع بشكل مصطنع، مما جعل المستخدمين يقومون بتشغيل مشاريع Node.js التي تحتوي على تبعيات خبيثة دون أي حذر، مما أدى إلى تسرب المفاتيح الخاصة ومحفظة الأصول المسروقة.
تشمل الهجمات تنسيق عمليات متعددة عبر حسابات GitHub، مما يزيد من نطاق الانتشار ويعزز من المصداقية، ويتميز بخداع قوي. تجمع هذه الأنواع من الهجمات بين الهندسة الاجتماعية والأساليب التقنية، مما يجعل من الصعب الدفاع ضدها تمامًا حتى داخل المنظمة.
ينبغي على المطورين والمستخدمين أن يبقوا في حالة تأهب عالية تجاه مشاريع GitHub غير المعروفة، خاصةً عندما يتعلق الأمر بمحافظ أو عمليات المفتاح الخاص. إذا كان من الضروري تشغيل تصحيح الأخطاء، يُنصح بالقيام بذلك في بيئة مستقلة وخالية من البيانات الحساسة.