ظهور نوع جديد من البوتات الخبيثة في نظام Solana البيئي: ملف التعريف يحتوي على فخ لسرقة المفتاح الخاص
في الآونة الأخيرة، اكتشف فريق الأمان عدة حالات من سرقة الأصول المشفرة نتيجة استخدام مشاريع أدوات Solana مفتوحة المصدر المستضافة على GitHub. في أحدث حالة، استخدم المستخدم الضحية مشروعًا مفتوح المصدر يسمى pumpfun-pumpswap-sniper-copy-trading-bot، مما أدى إلى تفعيل آلية سرقة العملات المخبأة فيه.
بعد التحليل، يقع كود الهجوم الرئيسي للمشروع الخبيث في ملف التكوين src/common/config.rs، ويركز بشكل رئيسي في داخل طريقة create_coingecko_proxy(). تقوم هذه الطريقة باستدعاء import_wallet() و import_env_var() للحصول على معلومات المفتاح الخاص للمستخدم.
على وجه التحديد، ستقوم طريقة import_env_var() بقراءة المعلومات الحساسة مثل المفتاح الخاص المخزنة في ملف .env. بعد ذلك، ستقوم الشفرة الخبيثة بإجراء التحقق من طول المفتاح الخاص وتحويل التنسيق، ثم استخدام Arc لتغليف متعدد الخيوط.
سيقوم البرنامج الضار بعد ذلك بإنشاء جسم طلب JSON يحتوي على المفتاح الخاص، وإرسال البيانات إلى الخادم عبر طلب POST. لتغطية السلوك الضار، تتضمن هذه الطريقة أيضًا وظائف طبيعية مثل الحصول على الأسعار.
من الجدير بالذكر أن هذا المشروع الخبيث قد تم تحديثه مؤخرًا في 17 يوليو 2025 على GitHub، حيث تم تعديل عنوان خادم المهاجم في ملف config.rs الخاص بـ HELIUS_PROXY. بعد فك التشفير، يمكن الحصول على عنوان الخادم الأصلي:
بالإضافة إلى ذلك، اكتشف فريق الأمان العديد من مستودعات GitHub التي تستخدم أساليب مشابهة، مثل Solana-MEV-Bot-Optimized وsolana-copytrading-bot-rust.
بشكل عام، تقوم هذه الأنواع من الهجمات بخداع المستخدمين من خلال التظاهر بأنها مشاريع مفتوحة المصدر شرعية. بمجرد أن يقوم المستخدم بتنفيذ الكود الخبيث، سيتم سرقة مفتاحه الخاص ونقله إلى خادم المهاجم. لذلك، يجب على المطورين والمستخدمين توخي الحذر عند استخدام مشاريع GitHub غير المعروفة، خاصة في الحالات التي تتعلق بمحافظ أو عمليات مفتاح خاص. يُنصح بإجراء الاختبارات في بيئة معزولة، وتجنب التنفيذ المباشر للكود غير الموثوق به في البيئة الرسمية.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
روبوتات خبيثة جديدة في نظام Solana البيئي: مشروع GitHub يحتوي على فخ لسرقة المفتاح الخاص
ظهور نوع جديد من البوتات الخبيثة في نظام Solana البيئي: ملف التعريف يحتوي على فخ لسرقة المفتاح الخاص
في الآونة الأخيرة، اكتشف فريق الأمان عدة حالات من سرقة الأصول المشفرة نتيجة استخدام مشاريع أدوات Solana مفتوحة المصدر المستضافة على GitHub. في أحدث حالة، استخدم المستخدم الضحية مشروعًا مفتوح المصدر يسمى pumpfun-pumpswap-sniper-copy-trading-bot، مما أدى إلى تفعيل آلية سرقة العملات المخبأة فيه.
! الاستنساخ البيئي ل Solana للروبوتات الخبيثة: ملف التكوين مخفي مصيدة نقل المفتاح الخاص
بعد التحليل، يقع كود الهجوم الرئيسي للمشروع الخبيث في ملف التكوين src/common/config.rs، ويركز بشكل رئيسي في داخل طريقة create_coingecko_proxy(). تقوم هذه الطريقة باستدعاء import_wallet() و import_env_var() للحصول على معلومات المفتاح الخاص للمستخدم.
! الاستنساخ البيئي ل Solana للروبوتات الضارة: ملف التكوين مصيدة المفتاح الخاص المخفي
على وجه التحديد، ستقوم طريقة import_env_var() بقراءة المعلومات الحساسة مثل المفتاح الخاص المخزنة في ملف .env. بعد ذلك، ستقوم الشفرة الخبيثة بإجراء التحقق من طول المفتاح الخاص وتحويل التنسيق، ثم استخدام Arc لتغليف متعدد الخيوط.
! الاستنساخ البيئي ل Solana للروبوتات الضارة: ملف التكوين مصيدة المفتاح الخاص المخفي
بعد ذلك، ستقوم create_coingecko_proxy() بفك تشفير عنوان URL الخبيث المحدد مسبقًا. هذا URL يشير إلى خادم تحت سيطرة المهاجم، وهو على وجه التحديد:
! نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مصيدة المفتاح الخاص المخفية
سيقوم البرنامج الضار بعد ذلك بإنشاء جسم طلب JSON يحتوي على المفتاح الخاص، وإرسال البيانات إلى الخادم عبر طلب POST. لتغطية السلوك الضار، تتضمن هذه الطريقة أيضًا وظائف طبيعية مثل الحصول على الأسعار.
من الجدير بالذكر أن هذا المشروع الخبيث قد تم تحديثه مؤخرًا في 17 يوليو 2025 على GitHub، حيث تم تعديل عنوان خادم المهاجم في ملف config.rs الخاص بـ HELIUS_PROXY. بعد فك التشفير، يمكن الحصول على عنوان الخادم الأصلي:
بالإضافة إلى ذلك، اكتشف فريق الأمان العديد من مستودعات GitHub التي تستخدم أساليب مشابهة، مثل Solana-MEV-Bot-Optimized وsolana-copytrading-bot-rust.
! نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مصيدة المفتاح الخاص المخفية
بشكل عام، تقوم هذه الأنواع من الهجمات بخداع المستخدمين من خلال التظاهر بأنها مشاريع مفتوحة المصدر شرعية. بمجرد أن يقوم المستخدم بتنفيذ الكود الخبيث، سيتم سرقة مفتاحه الخاص ونقله إلى خادم المهاجم. لذلك، يجب على المطورين والمستخدمين توخي الحذر عند استخدام مشاريع GitHub غير المعروفة، خاصة في الحالات التي تتعلق بمحافظ أو عمليات مفتاح خاص. يُنصح بإجراء الاختبارات في بيئة معزولة، وتجنب التنفيذ المباشر للكود غير الموثوق به في البيئة الرسمية.