أفضل المعلومات حول العملات الرقمية تصلك مباشرة إلى بريدك الإلكتروني.
- قامت مجموعة تهديد بزرع حزمة npm خبيثة في مشروع تداول العملات المشفرة من خلال عملية إيداع تم إنشاؤها بواسطة الذكاء الاصطناعي من قبل كلود من شركة أنثروبيك.
- يقوم البرنامج الخبيث بسرقة بياناتdentمحفظة العملات المشفرة وأسرار النظام باستخدام استراتيجية حزمة من طبقتين.
- ينبغي على المطورين الذين يستخدمون وكلاء الذكاء الاصطناعي لكتابة التعليمات البرمجية مراجعة أي عمليات إيداع تضيف تبعيات جديدة يدويًا.
تلقى مشروع تداول العملات الرقمية مفتوح المصدر حزمة npm خبيثة تُدعى @validate-sdk/v2 بعد أن جعلها نموذج الذكاء الاصطناعي Claude Opus التابع لشركة Anthropic إحدى تبعياته. وقد مكّن هذا المخترقين من الوصول إلى محافظ العملات الرقمية وأموال المستخدمين.
اكتشف باحثو الأمن من شركة ReversingLabs (RL) ثغرة أمنية في مشروع openpaw-graveyard، وهو وكيل تداول عملات مشفرة مستقل مُستضاف على منصة npm. أطلقوا عليه اسم PromptMink.
تم إجراء التعديل السيئ في 28 فبراير 2026. يقول موقع ReversingLabs أن الحزمة تتظاهر بأنها أداة للتحقق من البيانات ولكنها في الواقع تسرق الأسرار من بيئة المضيف.
قراصنة كوريون شماليون مرتبطون ببرمجية PromptMink الخبيثة
وقالت شركة ReversingLabs إن الهجوم جاء من جماعة Famous Chollima، وهي جماعة تهديد مدعومة من الدولة الكورية الشمالية.
تقوم المجموعة بنشر حزم npm الخبيثة منذ سبتمبر 2025 على الأقل. وقد قاموا بتحسين استراتيجية ذات طبقتين تهدف إلى خداع كل من المطورين البشريين ومساعدي البرمجة بالذكاء الاصطناعي.
تتكون الطبقة الأولى من حزم لا تحتوي على أي شفرة خبيثة. تبدو هذه الحزم "الطعمية"، مثل @solana-launchpad/sdk و @meme-sdk/trade، أدوات حقيقية لمطوري العملات المشفرة.
يسردون بعض حزم الطبقة الثانية التي تحمل الحمولة الفعلية، إلى جانب حزم npm الشائعة مثل axios و bn.js كاعتمادات.
عندما يتم الإبلاغ عن حزم الطبقة الثانية وإزالتها من npm، يقوم المهاجمون ببساطة بوضع حزمة جديدة دون فقدان السمعة التي بنوها حول حزم الطعم.
يقول موقع ReversingLabs أنه عندما تمت إزالة @hash-validator/v2 من npm، قام المهاجمون بإصدار @validate-sdk/v2 في نفس اليوم بنفس رقم الإصدار وشفرة المصدر.
تُعدّ أنظمة الذكاء الاصطناعي أكثر عرضة للاختراق من البشر
ذكر باحثون أمنيون أن أسلوب مجموعة "فيموس تشوليما" يبدو أكثر ملاءمة لاستغلال مساعدي البرمجة بالذكاء الاصطناعي منه للمطورين البشريين. وتقوم المجموعة بكتابة وثائق مطولة ومفصلة لحزمها الخبيثة، وهو ما يسميه الباحثون "إساءة استخدام تحسين LLM"
الهدف هو جعل الحزم تبدو حقيقية بما يكفي لكي برامج الذكاء الاصطناعي وتثبتها دون أي مشاكل. تم ترميز الحزم المصابةvibeأدوات الذكاء الاصطناعي التوليدية. تظهر استجابات LLM المتبقية في تعليقات الملف.
منذ أواخر عام 2025، اتخذ برنامج PromptMink الخبيث أشكالاً عديدة ومختلفة.
بدأ الأمر كبرنامج بسيط لسرقة المعلومات مكتوب بلغة جافا سكريبت، ثم تطور إلى تطبيقات كبيرة قابلة للتنفيذ بشكل فردي، ويأتي الآن على شكل حمولات Rust مجمعة مصممة لتكون خفية، وفقًا لـ ReversingLabs.
عند تثبيت البرامج الضارة، فإنها تبحث عن ملفات التكوين المتعلقة بالعملات المشفرة، وتسرق بياناتdentالمحفظة ومعلومات النظام، وتضغط وترسل شفرة المصدر للمشروع إلى نفسها، وتضع مفاتيح SSH على أجهزة Linux وWindows حتى تتمكن دائمًا من الوصول إليها عن بعد.
ليست حملة PromptMink هي الهجوم الأخير الوحيد الذي يستهدف مطوري العملات المشفرة من خلال مديري الحزم.
في الشهر الماضي، Cryptopolitan نشر عن برنامج GhostClaw الخبيث الذي استهدف مجتمع OpenClaw عبر مُثبِّت npm مزيف. وقد جمع البرنامج بيانات محافظ العملات الرقمية، وكلمات مرور سلسلة مفاتيح macOS، ورموز واجهة برمجة تطبيقات منصة الذكاء الاصطناعي من 178 مطوراً قبل إزالته من سجل npm.
تستخدم برمجية PromptMink وGhostClaw الهندسة الاجتماعية كنقطة دخول وتستهدف المطورين العاملين في مجال التشفير وWeb3. ما يميز PromptMink هو أنها تستهدف وكلاء برمجة الذكاء الاصطناعي وتستخدمهم كمسار للهجوم.
إذا كنت تقرأ هذا، فأنت متقدم بالفعل. ابقَ متقدماً من خلال نشرتنا الإخبارية.
الأسئلة الشائعة
ما هو برومبت مينك؟
PromptMink عبارة عن حملة برامج ضارة حيث تقوم حزمة npm خبيثة متنكرة في صورة أداة للتحقق من صحة البيانات بسرقة بياناتdentمحفظة العملات المشفرة، وغيرها من أسرار النظام.
من يقف وراء هجوم برومبت مينك؟
إن المجموعة التي تقف وراء هجوم PromptMink هي Famous Chollima، وهي جماعة تهديد مدعومة من الدولة ومرتبطة بكوريا الشمالية.
كيف انتهى المطاف بالحزمة الخبيثة في مشروع تداول العملات المشفرة؟
أُضيفت حزمة @validate-sdk/v2 كاعتمادية من خلال تعديل في مشروع openpaw-graveyard الذي شارك في تأليفه نموذج الذكاء الاصطناعي Claude Opus التابع لشركة Anthropic. وقد تم تضليل النموذج ليُوصي بهذه الحزمة من خلال وثائق مُضللة نشرها المهاجمون.
إخلاء مسؤولية: المعلومات الواردة هنا ليست نصيحة استثمارية. Cryptopolitanموقع أي مسؤولية عن أي استثمارات تتم بناءً على المعلومات الواردة في هذه الصفحة. ننصحtronبإجراء بحث مستقلdent /أو استشارة مختص مؤهل قبل اتخاذ أي قرارات استثمارية.
راندا موسى
راندا موسى محررة ومراسلة في Cryptopolitan تغطي أخبار التكنولوجيا والذكاء الاصطناعي والروبوتات والعملات الرقمية وعمليات الاحتيال والاختراقات. تعمل في مجال العملات الرقمية منذ عام ٢٠١٧، وشغلت مناصب في شركات فورورد بروتوكول وأمازيكس وكريبتوسومنياك. تحمل راندا شهادة في الهندسة الكهربائيةtronمن جامعة برادفورد.
- أي العملات المشفرة يمكن أن تدر عليك المال
- كيفية تعزيز أمانك باستخدام المحفظة الإلكترونية (وأي منها يستحق الاستخدام فعلاً)
- استراتيجيات استثمارية غير معروفة يستخدمها المحترفون
- كيفية البدء في الاستثمار في العملات المشفرة (أي منصات التداول التي يجب استخدامها، وأفضل العملات المشفرة للشراء، إلخ)