تحليل حادثة سرقة أصول مستخدمي Solana: حزمة NPM خبيثة تسرق المفتاح الخاص
في أوائل يوليو 2025، طلب مستخدم المساعدة من فريق الأمان، حيث ادعى أنه تعرض لسرقة أصوله المشفرة بعد استخدام مشروع مفتوح المصدر يسمى solana-pumpfun-bot على GitHub. بعد التحقيق، كشفت هذه الحادثة عن سلسلة من الهجمات المدبرة بعناية، تشمل حزم NPM الخبيثة، ومشاريع GitHub المموهة، وتقنيات الهندسة الاجتماعية.
تحقيق في الحدث
زار فريق الأمان المستودع المعني على GitHub، ووجد أن المشروع على الرغم من وجود عدد كبير من النجوم والفورك، إلا أن تحديثات الكود تركزت بشكل غير عادي، مما يفتقر إلى ميزات الصيانة المستمرة. أظهر التحليل الإضافي أن المشروع يعتمد على حزمة طرف ثالث مشبوهة تسمى crypto-layout-utils، والتي تمت إزالتها من NPM رسميًا.
من خلال فحص ملف package-lock.json، اكتشف الباحثون أن المهاجمين قاموا بتغيير رابط تحميل crypto-layout-utils إلى عنوان إصدار على GitHub. بعد تنزيل وتحليل هذه الحزمة المعتمدة الملتوية للغاية، تم التأكد من أنها رمز خبيث، حيث لديها وظيفة مسح ملفات الكمبيوتر الخاص بالمستخدم وتحميل المعلومات الحساسة.
أسلوب الهجوم
يشتبه في أن المهاجمين قد سيطروا على عدة حسابات GitHub، لاستخدامها في توزيع مشاريع ضارة وزيادة مصداقيتها. قاموا بزيادة شعبية المشاريع من خلال عمليات Fork و Star لجذب المزيد من المستخدمين للانتباه إليها واستخدامها. بالإضافة إلى crypto-layout-utils، تم اكتشاف حزمة ضارة أخرى تُدعى bs58-encrypt-utils تشارك في الهجوم.
باستخدام أدوات تحليل سلسلة الكتل، تم تتبع الأموال المسروقة حتى انتهى بها المطاف في منصة تداول معينة.
الملخص والتوصيات
لقد جمعت هذه الهجمة بمهارة بين الوسائل التقنية واستراتيجيات الهندسة الاجتماعية. قام المهاجمون بتزييف مشاريع مفتوحة المصدر شرعية، مما أدى إلى خداع المستخدمين لتحميل وتشغيل برامج Node.js التي تحتوي على تبعيات خبيثة، وبالتالي سرقة المفتاح الخاص للمحفظة والأصول.
لمنع هجمات مماثلة، يُنصح المطورين والمستخدمين:
كن حذرًا للغاية من مشاريع GitHub غير المعروفة المصدر، خاصة تلك التي تتعلق بمحافظ أو المفتاح الخاص.
تشغيل وتصحيح التعليمات البرمجية غير المألوفة في بيئة مستقلة وخالية من البيانات الحساسة.
تحقق بانتظام من الاعتماديات الخاصة بالمشروع، وتأكد من استخدام الحزم المعتمدة رسميًا.
تابع تاريخ تحديثات المشروع والتعليقات المجتمعية، واحذر من المشاريع التي تكتسب شهرة مفاجئة ولكن تفتقر إلى الصيانة على المدى الطويل.
تذكرنا هذه الحادثة مرة أخرى بأن الوعي بالأمان والحرص أمران في غاية الأهمية في نظام بيئي مفتوح ومفتوح المصدر.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 16
أعجبني
16
5
مشاركة
تعليق
0/400
DYORMaster
· 07-21 23:59
مرة أخرى تم سرقة فخ مشروع
شاهد النسخة الأصليةرد0
FomoAnxiety
· 07-21 10:38
عواصف وأمطار، من سيحفظ المفتاح الخاص على الإنترنت؟
شاهد النسخة الأصليةرد0
ForkThisDAO
· 07-19 01:48
حدثت حادثة أخرى، العقود الذكية يمكن أن تكون عالية أو منخفضة.
تعرضت Solana لهجوم على الموردين: حزمة NPM خبيثة تسرق المفتاح الخاص للمستخدمين والأصول
تحليل حادثة سرقة أصول مستخدمي Solana: حزمة NPM خبيثة تسرق المفتاح الخاص
في أوائل يوليو 2025، طلب مستخدم المساعدة من فريق الأمان، حيث ادعى أنه تعرض لسرقة أصوله المشفرة بعد استخدام مشروع مفتوح المصدر يسمى solana-pumpfun-bot على GitHub. بعد التحقيق، كشفت هذه الحادثة عن سلسلة من الهجمات المدبرة بعناية، تشمل حزم NPM الخبيثة، ومشاريع GitHub المموهة، وتقنيات الهندسة الاجتماعية.
تحقيق في الحدث
زار فريق الأمان المستودع المعني على GitHub، ووجد أن المشروع على الرغم من وجود عدد كبير من النجوم والفورك، إلا أن تحديثات الكود تركزت بشكل غير عادي، مما يفتقر إلى ميزات الصيانة المستمرة. أظهر التحليل الإضافي أن المشروع يعتمد على حزمة طرف ثالث مشبوهة تسمى crypto-layout-utils، والتي تمت إزالتها من NPM رسميًا.
من خلال فحص ملف package-lock.json، اكتشف الباحثون أن المهاجمين قاموا بتغيير رابط تحميل crypto-layout-utils إلى عنوان إصدار على GitHub. بعد تنزيل وتحليل هذه الحزمة المعتمدة الملتوية للغاية، تم التأكد من أنها رمز خبيث، حيث لديها وظيفة مسح ملفات الكمبيوتر الخاص بالمستخدم وتحميل المعلومات الحساسة.
أسلوب الهجوم
يشتبه في أن المهاجمين قد سيطروا على عدة حسابات GitHub، لاستخدامها في توزيع مشاريع ضارة وزيادة مصداقيتها. قاموا بزيادة شعبية المشاريع من خلال عمليات Fork و Star لجذب المزيد من المستخدمين للانتباه إليها واستخدامها. بالإضافة إلى crypto-layout-utils، تم اكتشاف حزمة ضارة أخرى تُدعى bs58-encrypt-utils تشارك في الهجوم.
باستخدام أدوات تحليل سلسلة الكتل، تم تتبع الأموال المسروقة حتى انتهى بها المطاف في منصة تداول معينة.
الملخص والتوصيات
لقد جمعت هذه الهجمة بمهارة بين الوسائل التقنية واستراتيجيات الهندسة الاجتماعية. قام المهاجمون بتزييف مشاريع مفتوحة المصدر شرعية، مما أدى إلى خداع المستخدمين لتحميل وتشغيل برامج Node.js التي تحتوي على تبعيات خبيثة، وبالتالي سرقة المفتاح الخاص للمحفظة والأصول.
لمنع هجمات مماثلة، يُنصح المطورين والمستخدمين:
تذكرنا هذه الحادثة مرة أخرى بأن الوعي بالأمان والحرص أمران في غاية الأهمية في نظام بيئي مفتوح ومفتوح المصدر.