تحليل حادثة سرقة المفاتيح الخاصة لمستخدمي Solana بسبب حزمة NPM خبيثة
في مطلع يوليو 2025، طلب أحد مستخدمي Solana المساعدة من فريق الأمان، حيث أفاد بأنه بعد استخدام مشروع مفتوح المصدر على GitHub، تم سرقة أصوله المشفرة. وكشفت التحقيقات أن هذه كانت حادثة هجوم تستخدم حزمة NPM خبيثة لسرقة المفتاح الخاص للمستخدم.
تفاصيل الحدث
استخدم الضحية مشروع GitHub المسمى solana-pumpfun-bot، والذي يبدو طبيعيًا، ويحظى بعدد كبير من النجوم والتفرعات. ومع ذلك، فإن تاريخ تحديث كود المشروع مركز حول قبل ثلاثة أسابيع، مما يدل على عدم وجود ميزات التحديث المستمر.
أظهر التحليل الإضافي أن المشروع يعتمد على حزمة طرف ثالث مشبوهة تُدعى crypto-layout-utils. تم سحب هذه الحزمة من NPM الرسمية، ولا توجد سجلات تاريخية للإصدار المحدد. في الواقع، قام المهاجم بتعديل ملف package-lock.json لتوجيه رابط تنزيل الحزمة المعتمدة إلى مستودع GitHub الذي يتحكم فيه.
تحليل الحزم الخبيثة
قامت فريق الأمان بتنزيل وتحليل حزمة crypto-layout-utils-1.3.1 المشبوهة، ووجدت أن كودها مشوش بشكل كبير. وبعد فك التشويش، تأكدوا من أنها حزمة NPM خبيثة، حيث تقوم بمسح الملفات الحساسة على جهاز الكمبيوتر الخاص بالمستخدم، وإذا وجدت محتوى متعلق بالمحفظة أو المفتاح الخاص، تقوم برفعه إلى خادم المهاجم.
أسلوب الهجوم
قد يكون المهاجمون قد سيطروا على حسابات متعددة على GitHub، لاستخدامها في توزيع البرامج الضارة وزيادة شعبية المشاريع. لقد قاموا بالتظاهر كمشاريع مفتوحة المصدر شرعية، لإغراء المستخدمين بتحميل وتشغيل كود Node.js الذي يحتوي على تبعيات ضارة، مما يؤدي إلى سرقة المفتاح الخاص.
بالإضافة إلى ذلك، تم اكتشاف حزمة ضارة أخرى وهي bs58-encrypt-utils-1.0.3، ويُحتمل أن تكون الأنشطة الهجومية قد بدأت في منتصف يونيو 2025.
وجهة الأموال
من خلال أدوات تحليل السلسلة، تم اكتشاف أن جزءًا من الأموال المسروقة تم تحويله إلى منصة تداول معينة.
نصائح الأمان
كن حذرًا من مشاريع GitHub التي لا تعرف مصدرها، خاصة المشاريع التي تتعلق بعمليات المحفظة.
قم بتشغيل وتصحيح المشاريع غير المعروفة في بيئة معزولة عند الضرورة.
يجب على المطورين مراجعة الاعتماديات من الطرف الثالث بعناية، والانتباه إلى الحزم أو روابط التنزيل المشبوهة.
التحقق بانتظام من تحديث تبعيات المشروع وإزالة المكونات التي تشكل خطراً أمنياً في الوقت المناسب.
استخدام أدوات أمان موثوقة لفحص كود المشروع بشكل دوري لاكتشاف التهديدات المحتملة مبكرًا.
تظهر هذه الحادثة مرة أخرى أن المهاجمين يبتكرون طرقًا جديدة باستمرار، ويشنون هجمات على النظام البيئي مفتوح المصدر. يجب على المطورين والمستخدمين تعزيز الوعي الأمني والحفاظ معًا على بيئة مفتوحة المصدر صحية.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 12
أعجبني
12
4
إعادة النشر
مشاركة
تعليق
0/400
GateUser-40edb63b
· منذ 7 س
ليس جديدا أن تنخدع بعمليات سحب الصيغة
شاهد النسخة الأصليةرد0
MidnightSeller
· منذ 7 س
لقد كنت مهملاً، يا صديقي
شاهد النسخة الأصليةرد0
PumpStrategist
· منذ 7 س
السوق كانت لديها إشارات سابقة، الدروس المجانية لا تدوم طويلاً.
تظهر سرقة المفاتيح الخاصة مرة أخرى في نظام Solana البيئي، حيث تتنكر حزم NPM الخبيثة كمشاريع مفتوحة المصدر.
تحليل حادثة سرقة المفاتيح الخاصة لمستخدمي Solana بسبب حزمة NPM خبيثة
في مطلع يوليو 2025، طلب أحد مستخدمي Solana المساعدة من فريق الأمان، حيث أفاد بأنه بعد استخدام مشروع مفتوح المصدر على GitHub، تم سرقة أصوله المشفرة. وكشفت التحقيقات أن هذه كانت حادثة هجوم تستخدم حزمة NPM خبيثة لسرقة المفتاح الخاص للمستخدم.
تفاصيل الحدث
استخدم الضحية مشروع GitHub المسمى solana-pumpfun-bot، والذي يبدو طبيعيًا، ويحظى بعدد كبير من النجوم والتفرعات. ومع ذلك، فإن تاريخ تحديث كود المشروع مركز حول قبل ثلاثة أسابيع، مما يدل على عدم وجود ميزات التحديث المستمر.
أظهر التحليل الإضافي أن المشروع يعتمد على حزمة طرف ثالث مشبوهة تُدعى crypto-layout-utils. تم سحب هذه الحزمة من NPM الرسمية، ولا توجد سجلات تاريخية للإصدار المحدد. في الواقع، قام المهاجم بتعديل ملف package-lock.json لتوجيه رابط تنزيل الحزمة المعتمدة إلى مستودع GitHub الذي يتحكم فيه.
تحليل الحزم الخبيثة
قامت فريق الأمان بتنزيل وتحليل حزمة crypto-layout-utils-1.3.1 المشبوهة، ووجدت أن كودها مشوش بشكل كبير. وبعد فك التشويش، تأكدوا من أنها حزمة NPM خبيثة، حيث تقوم بمسح الملفات الحساسة على جهاز الكمبيوتر الخاص بالمستخدم، وإذا وجدت محتوى متعلق بالمحفظة أو المفتاح الخاص، تقوم برفعه إلى خادم المهاجم.
أسلوب الهجوم
قد يكون المهاجمون قد سيطروا على حسابات متعددة على GitHub، لاستخدامها في توزيع البرامج الضارة وزيادة شعبية المشاريع. لقد قاموا بالتظاهر كمشاريع مفتوحة المصدر شرعية، لإغراء المستخدمين بتحميل وتشغيل كود Node.js الذي يحتوي على تبعيات ضارة، مما يؤدي إلى سرقة المفتاح الخاص.
بالإضافة إلى ذلك، تم اكتشاف حزمة ضارة أخرى وهي bs58-encrypt-utils-1.0.3، ويُحتمل أن تكون الأنشطة الهجومية قد بدأت في منتصف يونيو 2025.
وجهة الأموال
من خلال أدوات تحليل السلسلة، تم اكتشاف أن جزءًا من الأموال المسروقة تم تحويله إلى منصة تداول معينة.
نصائح الأمان
كن حذرًا من مشاريع GitHub التي لا تعرف مصدرها، خاصة المشاريع التي تتعلق بعمليات المحفظة.
قم بتشغيل وتصحيح المشاريع غير المعروفة في بيئة معزولة عند الضرورة.
يجب على المطورين مراجعة الاعتماديات من الطرف الثالث بعناية، والانتباه إلى الحزم أو روابط التنزيل المشبوهة.
التحقق بانتظام من تحديث تبعيات المشروع وإزالة المكونات التي تشكل خطراً أمنياً في الوقت المناسب.
استخدام أدوات أمان موثوقة لفحص كود المشروع بشكل دوري لاكتشاف التهديدات المحتملة مبكرًا.
تظهر هذه الحادثة مرة أخرى أن المهاجمين يبتكرون طرقًا جديدة باستمرار، ويشنون هجمات على النظام البيئي مفتوح المصدر. يجب على المطورين والمستخدمين تعزيز الوعي الأمني والحفاظ معًا على بيئة مفتوحة المصدر صحية.