يقوم المخترقون الآن بإخفاء برامج ضارة داخلtracالذكية Ethereum

كشف بحث أجرته شركة ReversingLabs عن حملة برمجيات خبيثة استخدمتtracEthereum الذكية لإخفاء عناوين URL لبرامج خبيثة. وأظهرت النتائج أن المخترقين استخدموا حزمتي npm، وهما colortoolv2 وmimelib2، اللتين عملتا كبرامج تنزيل. 

بمجرد تثبيت حزم npm، فإنها تجلب البرامج الضارة من المرحلة الثانية من بنية التحكم والسيطرة (C2) عن طريق الاستعلام عنtracالذكية Ethereum .

وصفت الباحثة لوسيا فالينتيك من مختبرات ReversingLabs الهجوم بأنه مبتكر، مشيرةً إلى أنه لم يُرَ مثله من قبل. وقد تجاوز أسلوب المهاجمين عمليات الفحص التقليدية التي عادةً ما تُشير إلى عناوين URL المشبوهة داخل نصوص الحزم البرمجية. 

يقوم المهاجمون بإخفاء البرامج الضارة في وضح النهار 

Ethereum الذكيةtracمن الجميع. تم إخفاء هذه البرمجيات الخبيثة باستخدام ملف index.js بسيط، والذي عند تشغيله، يتصل بسلسلة الكتل لاسترداد تفاصيل خادم التحكم والسيطرة.

وفقًا ReversingLabs لبحث، فإن حزم التنزيل ليست قياسية على npm، واستضافة البلوك تشين تمثل مرحلة جديدة في أساليب التهرب.

دفع هذا الاكتشاف الباحثين إلى إجراء مسح شامل لمنصة GitHub، حيث وجدوا أن حزم npm مُدمجة ضمن مستودعات تتظاهر بأنها روبوتات تداول عملات مشفرة. كانت هذه الروبوتات مُتنكرة تحت أسماء مثل Solana-trading-bot-v2 وHyperliquid-trading-bot-v2 وغيرها الكثير. أما المستودعات، فكانت تُصوَّر على أنها أدوات احترافيةtracعمليات الالتزام المتعددة والحاويات والنجوم، ولكنها في الحقيقة كانت مُختلقة. 

بحسب البحث، فإن الحسابات التي أجرت عمليات إيداع أو نسخًا من المستودعات أُنشئت في يوليو/تموز ولم تُظهر أي نشاط برمجي. وكانت معظم هذه الحسابات تحتوي على ملف README مُضمّن في مستودعاتها. وقد تبيّن أن عدد عمليات الإيداع تم توليده بشكل مصطنع عبر عملية آلية لتضخيم النشاط البرمجي. فعلى سبيل المثال، كانت معظم عمليات الإيداع المُسجّلة مجرد تغييرات في ملفات الترخيص وليست تحديثات جوهرية.  

استُخدم اسم المستخدم Pasttimerles، الذي يستخدمه أحد المشرفين، بشكل ملحوظ لمشاركة العديد من التغييرات. أما اسم المستخدم Slunfuedrac، فقد ارتبط بإدراج حزم npm الخبيثة في ملفات المشروع.

بمجرد اكتشافهم، استمر المخترقون في تغيير التبعيات إلى حسابات مختلفة. فبعد اكتشاف ثغرة colortoosv2، انتقلوا إلى mimelibv2، ثم إلى mw3ha31q وcnaovalles، مما ساهم في زيادة حجم الالتزامات ووضع التبعيات الخبيثة، على التوالي. 

ربطت أبحاث ReversingLabs هذا النشاط بشبكة Stargazer's Ghost Network، وهي نظام حسابات منسق يعزز مصداقية المستودعات الخبيثة. استهدف الهجوم المطورين الذين يبحثون عن أدوات العملات المشفرة مفتوحة المصدر، والذين قد يظنون خطأً أن إحصائيات GitHub المبالغ فيها حسابات شرعية.

يمثل تضمين البرامج الضارة في سلسلة كتل Ethereum مرحلة جديدة في اكتشاف التهديدات

يأتي هذا الهجوم المكتشف في أعقاب سلسلة من الهجمات التي استهدفت منظومة البلوك تشين. ففي مارس 2025، كشفت شركة ResearchLabs عن حزم npm خبيثة أخرى قامت بتعديل حزم Ethers المشروعة بإضافة شيفرة تُمكّن من الوصول العكسي إلى الشبكة. وقد تم الكشف عن حزمتي Ether-provider2 وethers-providerZ npm اللتين تحتويان على شيفرة خبيثة تُمكّن من الوصول العكسي إلى الشبكة. 

تم الكشف أيضاً عن عدة حالات سابقة، بما في ذلك اختراق حزمة Ultralytics التابعة لـ PyPI في ديسمبر 2024، لاستخدامها في نشر برمجيات خبيثة لتعدين العملات المشفرة. وشملتdentأخرى استخدام منصات موثوقة مثل Google Drive وGitHub Gist لإخفاء التعليمات البرمجية الخبيثة عبر خوادم التحكم والسيطرة.

ووفقًا للبحث، تم تسجيل 23dentمتعلقة بسلسلة التوريد للعملات المشفرة في عام 2024، تتراوح بين البرامج الضارة واختراقات بياناتdent. 

يعتمد الاكتشاف الأخير على أساليب قديمة، لكنه يُقدّم نهجtracEthereum كآلية جديدة. وقال فالينتيك، الباحث في مختبرات الأبحاث، إن هذا الاكتشاف يُسلّط الضوء على التطور السريع لاستراتيجيات التهرب من الكشف التي يستخدمها المتسللون الذين يستهدفون مشاريع ومطوري البرمجيات مفتوحة المصدر. 

أبرز البحث أهمية التحقق من شرعية المكتبات مفتوحة المصدر قبل اعتمادها. وحذرت فالينتيك من ضرورة تقييم المطورين لكل مكتبة يفكرون في استخدامها قبل إضافتها إلى بيئة التطوير الخاصة بهم. وأضافت أنه من الواضح أن مؤشرات مثل عدد النجوم، وعدد المساهمات، وعدد القائمين على صيانتها قابلة للتلاعب بسهولة.    

اللتين تمdentتمت إزالة حزمتي npm GitHub ، لكن هذا النشاط قد سلط الضوء على كيفية تطور النظام البيئي لتهديدات البرمجيات.