آخر الأخبار
مختارة خصيصاً لك

يستهدف برنامج جديد لسرقة المعلومات من نوع npm مطوري التمويل DeFi ومستخدمي روبوتات التداول في منصة Polymarket

بواسطةهانا كوليمورهانا كوليمور
قراءة دقيقتين
يستهدف برنامج جديد لسرقة المعلومات مستخدمي روبوتات التداول في منصة التمويل اللامركزي DeFi) ومنصة بولي ماركت
  • قام المهاجمون بإنشاء روبوت مزيف للمراجحة في سوق Polymarket على GitHub قام بتثبيت برامجdentلسرقة بيانات الاعتماد من خلال تبعية npm مخفية.
  • تستهدف الحزم الخبيثة الثلاثين المنتشرة عبر عشرة حسابات npm محافظ العملات المشفرة، وبياناتdentالمتصفح، وأسرار المطورين، وقواعد بيانات مدير كلمات المرور.
  • قام ما لا يقل عن 53 مطورًا بنسخ المستودع قبل الإبلاغ عنه.

أنشأ قراصنة برنامج تداول آلي مزيف لأسواق التنبؤات التابعة لشركة Polymarket على منصة GitHub. استُخدم هذا البرنامج لنشر برمجيات خبيثة تسرق بياناتdentمثل مفاتيح المحافظ وكلمات مرور المتصفحات.

تم العثور على 30 حزمة برمجية خبيثة في عدة حسابات على منصة npm، يُزعم أنها تستهدف المطورين والمتداولين الذين يستخدمون استراتيجيات آلية. وقد وقع ما لا يقل عن 53 مطورًا ضحيةً لهذه الحزمة قبل اكتشافها.

كيف انتشر برنامج روبوت مزيف إلى أكثر من 53 مطورًا؟

في الأول من يوليو/تموز 2026، رصدت شركة الأمن السيبراني "سلوميست" روبوت تداول مزيفًا وعد بأرباح طائلة على منصة "بولي ماركت"، ولكنه في الواقع لم يكن سوى أداة لنشر برمجيات خبيثة. وقد عثرت شركة "سيف ديب" على 30 حزمة برمجية خبيثة من نوع "إن بي إم" موزعة على حسابات متعددة ومرتبطة بمستودع "جيت هاب" مزيف.

نشر المجرمون برنامجًا آليًا يُدعى "بولي ماركت أربيتراج بوت" يدّعي تحقيق أرباح تتجاوز 80 ألف دولار سنويًا. حصد البرنامج 36 نجمة و53 نسخة قبل كشف عملية الاحتيال. كل مطور قام بتنزيله وتثبيته قام بتشغيل البرمجية الخبيثة.

كان المهاجمون على دراية بحقيقة أن برامج التداول الآلي الحقيقية قد حققت أرباحًا طائلة على منصة Polymarket.

حوّل أحد برامج التداول الآلي، الذي حلّله محلل أسواق التنبؤات في مختبر دكستر، مبلغ 313 دولارًا إلى 414 ألف دولار في شهر واحد فقط، بينما حقق برنامج آخر، حلّله الباحث إيغور ميكيرين، 2.2 مليون دولار خلال شهرين. هذا السجل tracجعل برنامج التداول الآلي المزيف يبدو مقنعًا للمتداولين الساعين وراء الأرباح السريعة.

تضمنت تعليمات هذا الروبوت التداولي المزيف قيام المستخدمين بوضع مفتاحهم الخاص في Polymarket في ملف .env قبل تشغيل "npm install". أثناء التثبيت، يتم تشغيل البرامج الضارة، المخفية داخل تبعية تسمى "clob-client-math".

يسرق البرنامج الخبيث الكثير من البيانات الحساسة، بما في ذلك: 

  • بيانات محافظ العملات المشفرة من MetaMask و Phantom و Coinbase Wallet و TrustWallet وغيرها.
  • بيانات المتصفح مثل كلمات المرور المحفوظة وملفات تعريف الارتباط من متصفحات Chrome و Firefox و Brave.
  • مفاتيح SSH، وبيانات تسجيل الدخول إلى AWS، ورموز npm وPyPI.
  • البيانات من برامج إدارة كلمات المرور مثل Bitwarden و KeePass و 1Password.
  • المفاتيح الخاصة ورموز API.

ماذا يجب عليك فعله إذا قمت بتنزيل برنامج الروبوت المزيف؟

يعتقد باحثو الأمن أن قراصنة من كوريا الشمالية يقفون وراء هذا الهجوم. وتشنّ المجموعة حملة أوسع نطاقاً تُعرف باسم "المتداول المعدي" تستهدف مطوري العملات الرقمية.

Cryptopolitan أفاد في مارس/آذار أن قراصنة إلكترونيين تمكنوا من اختراق حساب أحد مطوري أكسيوس ونشروا حزم برمجية خبيثة عبر npm. وفي مايو/أيار، استُخدم حساب مخترق واحد للاستيلاء على أكثر من 323 حزمة برمجية في أقل من 30 دقيقة.

كما واجه مستخدمو Polymarket هجمات أخرى هذا العام، مثل تلك التي وقعت في أواخر يونيو، حيث تم سحب 2.94 مليون دولار من 11 حسابًا على الأقل من خلال عملية احتيال تصيدية

تُشير SafeDep إلى أن أي جهاز كمبيوتر قام بتشغيل أمر "npm install" على برنامج الروبوت المزيف يجب التعامل معه على أنه مخترق. ويُنصح هؤلاء الأشخاص بتغيير جميع مفاتيح محافظ العملات الرقمية فورًا، وتغيير جميع كلمات المرور المخزنة في متصفحاتهم، واستبدال جميع بياناتdentAWS ومفاتيح SSH ورموز API.

يُنصح المتداولون أيضًا بفحص ملفات npm lock الخاصة بهم بحثًا عن الحزم الخبيثة الثلاثين، وذلك بالبحث عن التبعيات التي تظهر في ملف package.json ولكنها لا تُستخدم أبدًا في الكود. احتوى ملف package.json الخاص بالمستودع في هذا الهجوم على أربع تبعيات، ولكن ثلاثًا منها فقط (مجموعة أدوات Polymarket الرسمية، وethers، وdotenv) كانت شرعية. أما التبعية الرابعة، clob-client-math، التي أخفت البرمجية الخبيثة، فلم يتم استيرادها أبدًا في أي مكان في الكود المصدري للروبوت.

أفضل وسيلة للدفاع هي التحقق مما إذا كانت الحزم تأتي من حسابات جديدة ليس لها تاريخ نشر، حيث تم نشر جميع الحزم المزيفة بواسطة حسابات جديدة تمامًا.

لا تكتفِ بقراءة أخبار العملات الرقمية، بل افهمها. اشترك في نشرتنا الإخبارية، إنها مجانية.

الأسئلة الشائعة

ما هو برنامج المراجحة الوهمي "بولي ماركت"؟

هو مستودع GitHub (Trum3it/polymarket-arbitrage-bot) الذي تظاهر بأنه روبوت تداول TypeScript لأسواق التنبؤ الخاصة بـ Polymarket ولكنه تضمن تبعية npm خبيثة تسمى `clob-client-math` والتي قامت بتثبيت برنامج لسرقة المعلومات عندما قام المطورون بتشغيل `npm install`، وفقًا لتحقيق SafeDep.

ما هي البيانات التي يجمعها سارق المعلومات؟

يستهدف البرنامج الخبيث خزائن محافظ العملات المشفرة من ثماني محافظ رئيسية بما في ذلك MetaMask و Phantom، وملفات تعريف الارتباط وكلمات المرور الخاصة بالمتصفح، ومفاتيح SSH، وبياناتdentAWS، ورموز npm و PyPI، وتكوينات Docker، وسجل shell، وقواعد بيانات مدير كلمات المرور من Bitwarden و KeePass و 1Password.

كيف يمكن للمطورين التحقق مما إذا كانوا قد تأثروا؟

يجب على المطورين الذين قاموا باستنساخ المستودع فحص ملفات قفل npm الخاصة بهم بحثًا عن أي من الحزم الثلاثين التي تمdentفي الحملة، وتدوير جميع بياناتdentوالمفاتيح الخاصة التي تم تخزينها على الجهاز المتأثر، ومراجعة ملف `package.json` الخاص بهم بحثًا عن التبعيات التي تم الإعلان عنها ولكن لم يتم استيرادها أبدًا في التعليمات البرمجية المصدرية.

شارك هذا المقال

إخلاء مسؤولية: المعلومات الواردة هنا ليست نصيحة استثمارية. Cryptopolitanموقع أي مسؤولية عن أي استثمارات تتم بناءً على المعلومات الواردة في هذه الصفحة. ننصحtronبإجراء بحث مستقلdent /أو استشارة مختص مؤهل قبل اتخاذ أي قرارات استثمارية.

هانا كوليمور

هانا كوليمور

هانا كاتبة ومحررة تتمتع بخبرة تقارب عشر سنوات في كتابة المدونات وتغطية الأحداث في مجال العملات الرقمية. في Cryptopolitan، تُساهم هانا في صفحة الأخبار، حيث تُغطي وتُحلل آخر التطورات في DeFi، والأصول المُدارة بالمخاطر (RWA)، وتنظيم العملات الرقمية، والذكاء الاصطناعي، وقطاعات التكنولوجيا الرائدة. تخرجت هانا من جامعة أركاديا بشهادة في إدارة الأعمال.

المزيد من الأخبار
دورة مكثفة في عالم العملات المشفرة