كشف باحثو الأمن السيبراني عن حملة هجومية جديدة وخطيرة تستهدف مستخدمي العملات الرقمية، لاسيما مستخدمي محافظ Atomic وExodus.
وتركز هذه الحملة على استغلال ثغرات في سلسلة التوريد البرمجية عبر نشر حزم NPM تحتوي على شيفرات خبيثة، يتم تحميلها وتنفيذها دون علم المطور أو المستخدم النهائي.
آلية الهجوم: اختراق يبدأ من المطورين
تبدأ سلسلة العدوى عندما يقوم المطورون بتحميل حزم برمجية تبدو شرعية من منصة NPM. من بين هذه الحزم، تم تحديد الحزمة المسماة “pdf-to-office”، والتي توحي بأنها أداة لتحويل الملفات، لكنها تحتوي ضمن ملفاتها على شيفرة خبيثة تُفعّل فور التثبيت.
فحص الجهاز والتلاعب بالمحافظ
بمجرد تثبيت الحزمة الضارة، تبدأ بفحص الجهاز بحثًا عن محافظ العملات الرقمية المثبتة، خاصة Atomic وExodus. في حال تم العثور عليها، تقوم البرمجية باستخراج ملفات التطبيق إلى مجلدات مؤقتة، ثم تحقن شيفرات خبيثة داخلها، وتعيد تغليف الملفات بشكل يُظهرها سليمة وغير معدلة.
استبدال العناوين وتحويل الأموال للمهاجمين
تكمن خطورة هذا الهجوم في أنه يقوم بتعديل الشيفرة الخاصة بعمليات إرسال العملات داخل المحفظة، بحيث يتم استبدال عنوان المستلم بعنوان آخر مملوك للمهاجم، ويتم ذلك باستخدام تقنية base64 لإخفاء العنوان داخل الشيفرة.
تظهر المعاملة بشكل طبيعي في واجهة المحفظة، بينما الأموال تذهب إلى عنوان خبيث دون علم المستخدم.
لا مؤشرات مرئية للاختراق
واحدة من أكثر الجوانب إثارة للقلق هي أن المستخدم لا يلاحظ أي تغير في واجهة الاستخدام أو أثناء تنفيذ المعاملة. لا تظهر رسائل تحذيرية أو علامات تدل على حدوث تلاعب.
يُكتشف الأمر فقط عند مراجعة تفاصيل المعاملة على البلوكشين، ليتضح أن الأموال أُرسلت إلى عنوان غير معروف.
تحليل تقني من ReversingLabs
أجرت شركة ReversingLabs تحليلًا معمقًا للحملة، وتمكنت من تحديد عدة مؤشرات على النشاط الخبيث، من بينها اتصالات بروتوكولية مريبة، وأنماط شيفرة تتطابق مع تهديدات معروفة سابقًا. وأوضحت الشركة أن الهجوم يتم عبر مراحل متسلسلة، ويعتمد على تقنيات تمويه متقدمة لتفادي الكشف من برامج الحماية.
أهداف متعددة وعملات متنوعة
الهجوم لا يقتصر على الإيثريوم فحسب، بل يشمل أيضًا تحويلات عبر شبكات وعملات أخرى مثل USDT (Tron)، XRP، وSolana. ويبدو أن الجهة المنفذة تمتلك خبرة واسعة في هندسة الهجمات البرمجية على أنظمة متنوعة من العملات الرقمية.
توصيات وتحذيرات للمطورين والمستخدمين
يحذر الباحثون من الاعتماد الأعمى على حزم البرمجيات مفتوحة المصدر دون التحقق من مصدرها ومحتواها. ويوصون المطورين بمراجعة الشيفرة المصدرية لأي حزمة قبل استخدامها في المشاريع، وتفعيل أدوات التحليل الأمني التلقائي.
كما يُنصح المستخدمون بمراجعة المعاملات المالية دومًا عبر متصفحات البلوكشين، وعدم الاكتفاء بواجهة المحفظة فقط.