تحليل حادثة سرقة أصول مستخدمي Solana نتيجة حزمة NPM الخبيثة التي سرقت المفتاح الخاص
في أوائل يوليو 2025، أثار حادث سرقة الأصول ضد مستخدمي Solana انتباه فريق الأمان. اكتشف أحد الضحايا سرقة أصوله المشفرة بعد استخدام مشروع مفتوح المصدر مستضاف على GitHub. بعد تحقيق متعمق، كشف فريق الأمان عن سلسلة هجمات مصممة بعناية.
المهاجمون يتنكرون في شكل مشاريع مفتوحة المصدر شرعية، مما يغري المستخدمين بتحميل وتشغيل مشاريع Node.js التي تحتوي على تعليمات برمجية خبيثة. يبدو أن هذا المشروع المسمى "solana-pumpfun-bot" شائع للغاية، حيث يمتلك عددًا كبيرًا من النجوم والفروع. ومع ذلك، فإن تاريخ تقديم الشفرة الخاص به يظهر أنماطًا غير طبيعية، حيث يفتقر إلى سمات التحديث المستمر.
أظهر التحليل الإضافي أن المشروع يعتمد على حزمة طرف ثالث مشبوهة تُسمى "crypto-layout-utils". تم إزالة هذه الحزمة من قبل NPM رسميًا، لكن المهاجمين قاموا بتعديل ملف package-lock.json واستبدال رابط التنزيل بعنوان مستودع GitHub الذي يتحكمون فيه، واستمروا في توزيع الشيفرة الخبيثة.
بعد تحليل هذه الحزمة الضارة المعقدة للغاية، أكد فريق الأمان أن وظيفتها هي فحص الملفات الحساسة على أجهزة كمبيوتر المستخدمين، خاصة تلك المتعلقة بمحافظ العملات المشفرة والمفتاح الخاص. بمجرد اكتشاف الملفات المستهدفة، سيتم تحميلها إلى الخادم الذي يتحكم فيه المهاجم.
استخدم المهاجمون أيضًا استراتيجية التعاون عبر حسابات متعددة، من خلال إجراء عدد كبير من عمليات Fork و Star لزيادة مصداقية المشروع وتوسيع نطاق الضحايا. بالإضافة إلى "crypto-layout-utils"، تم اكتشاف حزمة خبيثة أخرى تُدعى "bs58-encrypt-utils" تشارك في هذا الهجوم.
استخدام أدوات التحليل على السلسلة لتتبع اتجاه الأموال المسروقة، واكتشاف أن جزءًا من الأموال تم تحويله إلى منصة تداول معينة.
تظهر هذه الحادثة التحديات الأمنية التي تواجهها المجتمعات مفتوحة المصدر. استغل المهاجمون ثقة المستخدمين في مشاريع GitHub، بالجمع بين الهندسة الاجتماعية والوسائل التقنية، لتنفيذ هجوم معقد. من الضروري لمطوري ومستخدمي المشاريع التي تتعلق بالأصول المشفرة أن يظلوا في حالة تأهب قصوى. يُنصح باختبار الشفرات ذات المصادر غير المعروفة في بيئة معزولة، ومراقبة مصداقية المشروع وموثوقيته في جميع الأوقات.
تتعلق هذه الحادثة بعدة مستودعات GitHub و حزم NPM خبيثة، وقد أعد فريق الأمان قائمة بالمعلومات ذات الصلة لتكون مرجعًا للمجتمع ووسيلة للوقاية. إن طبيعة هذا النوع من الهجمات خفية ومخادعة للغاية، مما يذكرنا بضرورة توخي الحذر عند استكشاف المشاريع الجديدة، خاصة عند القيام بعمليات حساسة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
حزمة NPM الخبيثة تسرق المفتاح الخاص بـ Solana مشروع مفتوح المصدر يخفي الشعاب المرجانية
تحليل حادثة سرقة أصول مستخدمي Solana نتيجة حزمة NPM الخبيثة التي سرقت المفتاح الخاص
في أوائل يوليو 2025، أثار حادث سرقة الأصول ضد مستخدمي Solana انتباه فريق الأمان. اكتشف أحد الضحايا سرقة أصوله المشفرة بعد استخدام مشروع مفتوح المصدر مستضاف على GitHub. بعد تحقيق متعمق، كشف فريق الأمان عن سلسلة هجمات مصممة بعناية.
المهاجمون يتنكرون في شكل مشاريع مفتوحة المصدر شرعية، مما يغري المستخدمين بتحميل وتشغيل مشاريع Node.js التي تحتوي على تعليمات برمجية خبيثة. يبدو أن هذا المشروع المسمى "solana-pumpfun-bot" شائع للغاية، حيث يمتلك عددًا كبيرًا من النجوم والفروع. ومع ذلك، فإن تاريخ تقديم الشفرة الخاص به يظهر أنماطًا غير طبيعية، حيث يفتقر إلى سمات التحديث المستمر.
أظهر التحليل الإضافي أن المشروع يعتمد على حزمة طرف ثالث مشبوهة تُسمى "crypto-layout-utils". تم إزالة هذه الحزمة من قبل NPM رسميًا، لكن المهاجمين قاموا بتعديل ملف package-lock.json واستبدال رابط التنزيل بعنوان مستودع GitHub الذي يتحكمون فيه، واستمروا في توزيع الشيفرة الخبيثة.
بعد تحليل هذه الحزمة الضارة المعقدة للغاية، أكد فريق الأمان أن وظيفتها هي فحص الملفات الحساسة على أجهزة كمبيوتر المستخدمين، خاصة تلك المتعلقة بمحافظ العملات المشفرة والمفتاح الخاص. بمجرد اكتشاف الملفات المستهدفة، سيتم تحميلها إلى الخادم الذي يتحكم فيه المهاجم.
استخدم المهاجمون أيضًا استراتيجية التعاون عبر حسابات متعددة، من خلال إجراء عدد كبير من عمليات Fork و Star لزيادة مصداقية المشروع وتوسيع نطاق الضحايا. بالإضافة إلى "crypto-layout-utils"، تم اكتشاف حزمة خبيثة أخرى تُدعى "bs58-encrypt-utils" تشارك في هذا الهجوم.
استخدام أدوات التحليل على السلسلة لتتبع اتجاه الأموال المسروقة، واكتشاف أن جزءًا من الأموال تم تحويله إلى منصة تداول معينة.
تظهر هذه الحادثة التحديات الأمنية التي تواجهها المجتمعات مفتوحة المصدر. استغل المهاجمون ثقة المستخدمين في مشاريع GitHub، بالجمع بين الهندسة الاجتماعية والوسائل التقنية، لتنفيذ هجوم معقد. من الضروري لمطوري ومستخدمي المشاريع التي تتعلق بالأصول المشفرة أن يظلوا في حالة تأهب قصوى. يُنصح باختبار الشفرات ذات المصادر غير المعروفة في بيئة معزولة، ومراقبة مصداقية المشروع وموثوقيته في جميع الأوقات.
تتعلق هذه الحادثة بعدة مستودعات GitHub و حزم NPM خبيثة، وقد أعد فريق الأمان قائمة بالمعلومات ذات الصلة لتكون مرجعًا للمجتمع ووسيلة للوقاية. إن طبيعة هذا النوع من الهجمات خفية ومخادعة للغاية، مما يذكرنا بضرورة توخي الحذر عند استكشاف المشاريع الجديدة، خاصة عند القيام بعمليات حساسة.