اكتشفت شركة Mosyle الأمنية نوعاً من البرمجيات الخبيثة قادراً على تجاوز برامج مكافحة الفيروسات وسرقة المعلومات من محافظ العملات الرقمية على المتصفحات. وتنتشر هذه البرمجيات الخبيثة عبر إعلانات التوظيف الوهمية على الإنترنت.
لم تكتشف برامج مكافحة الفيروسات الرئيسية برمجية ModStealer الخبيثة لمدة شهر تقريبًا قبل الإبلاغ عنها. استهدفت هذه البرمجية المطورين الذين يعملون بالفعل مع بيئات Node.js. تقوم ModStealer بفحص ملحقات محافظ العملات الرقمية المستندة إلى المتصفح، وبياناتdentالنظام، والشهادات الرقمية قبل إرسال المعلومات المسروقة إلى خادم التحكم والسيطرة (C2). يعمل خادم التحكم والسيطرة كمركز رئيسي للمحتالين لإدارة الأجهزة المخترقة.
يستغل برنامج ModStealer بيئة Node.js لسرقة المفاتيح الخاصة
بحسب بحثٍ أجرته 9to5Mac ، يتخفّى برنامج ModStealer الخبيث على أنظمة macOS كبرنامج مساعد يعمل في الخلفية لضمان استمراريته، ما يضمن تشغيله تلقائيًا matic كل إعادة تشغيل للجهاز. وقد احتوت الأنظمة المصابة على ملف باسم sysupdater.dat واتصالات غير معتادة بخوادم مشبوهة.
كشف شان تشانغ، كبير مسؤولي أمن المعلومات في شركة SlowMist المتخصصة في أمن تقنية البلوك تشين، أن برنامج ModStealer الخبيث يفلت من اكتشاف برامج مكافحة الفيروسات الشائعة، ويشكل خطراً كبيراً على منظومة الأصول الرقمية. وأضاف أن هذا البرنامج الخبيث يدعم منصات متعددة وينفذ بشكل خفي، مما يميزه عن البرامج الخبيثة التقليدية.
كشف تشارلز غيليميت، المدير التقني لشركة ليدجر، هجوم مماثل آخر مكّن المهاجمين من اختراق حساب مطوّر في مدير حزم Node (npm) في محاولة لنشر برمجيات خبيثة، قد تستبدل عناوين المحافظ الإلكترونية خلسةً أثناء المعاملات. وحذّر من أن مثل هذه الحوادث dent مدى هشاشة مكتبات البرمجيات المتعلقة بتقنية البلوك تشين.
تسببت أخطاء المهاجمين في أعطال في خطوط أنابيب التكامل المستمر/التسليم المستمر، مما أدى إلى الكشف المبكر والحد من التأثير. ومع ذلك، يُعد هذا تذكيراً واضحاً: إذا كانت أموالك موجودة في محفظة برمجية أو على منصة تداول، فأنت على بُعد تنفيذ واحد لرمز برمجي من خسارة كل شيء. لا تزال اختراقات سلسلة التوريد وسيلة فعالة لنشر البرامج الضارة، ونشهد أيضاً ظهور المزيد من الهجمات الموجهة
– تشارلز جيليميت ، ليدجر CTO
حذّر تشانغ من أن برمجية ModStealer الخبيثة تُشكّل تهديدًا مباشرًا لمستخدمي ومنصات العملات الرقمية، مُضيفًا أن اختراق المفاتيح الخاصة وعبارات الاسترداد ومفاتيح واجهة برمجة تطبيقات منصات التداول قد يُؤدي إلى خسائر فورية للمستخدمين الأفراد. كما أشار إلى أن سرقة بيانات محافظ إضافات المتصفح على نطاق واسع قد تُؤجّج عمليات استغلال واسعة النطاق على سلسلة الكتل، وتُضعف ثقة المستخدمين، وتزيد من المخاطر في جميع مراحل سلاسل توريد العملات الرقمية.
ثغرات أمنية جديدة تستهدف بيانات محافظ العملات الرقمية
اكتشف غيليميه أن نظام جافا سكريبت البيئي قد تعرض لهجوم واسع النطاق على سلسلة التوريد، استهدف مكتبات مثل chalk و strip-ansi و color-convert و error-ex. وقد تم تحميل الحزم المتأثرة أكثر من مليار مرة أسبوعيًا، مما يشكل تهديدًا خطيرًا لنظام البلوك تشين البيئي.
كان البرنامج الخبيث يعمل كأداة لتعديل عناوين العملات الرقمية، ما يعني قدرته على استبدال عناوين المحافظ في طلبات الشبكة أو تعديل المعاملات التي تتم عبر MetaMask ومحافظ أخرى. تم اكتشاف الهجوم من خلال خلل بسيط في عملية بناء خط أنابيب التكامل المستمر/التسليم المستمر (CI/CD). لاحقًا، وجد الباحثون أن البرنامج الخبيث استخدم استراتيجيتين. الأولى هي تبديل العناوين السلبي، حيث راقب طلبات حركة البيانات الصادرة واستبدل عناوين المحافظ بعناوين يتحكم بها المخترق. استخدمت هذه الاستراتيجية خوارزمية مسافة ليفنشتاين، التي تختار عناوين متشابهة، ما يجعل اكتشاف التغييرات صعبًا بصريًا.
استخدم المهاجمون أسلوبًا آخر يتمثل في اختطاف المعاملات النشطة، حيث يقومون بتعديل المعاملات المعلقة في الذاكرة قبل إرسالها للموافقة عليها من قبل المستخدم بمجرد اكتشاف محفظة العملات المشفرة. وقد أدى ذلك إلى خداع المستخدمين لتوقيع التحويلات مباشرةً إلى محفظة المهاجم.
تم الإبلاغ عن dent مماثلة على Cryptopolitan ، حيث كشف بحث أجرته ReversingLabs عن برمجية خبيثة أخرى مخبأة في trac الذكية Ethereum . تم تحميل الهجوم عبر حزم npm، بما في ذلك colortoolv2 وmimelib2، والتي عملت كوكلاء ثانويين، حيث جلبت البرمجيات الخبيثة المخزنة على Ethereum .
كشفت شركة ReversingLabs أن البرمجيات الخبيثة تجاوزت عمليات الفحص الأمني عن طريق إخفاء عناوين URL الخبيثة داخلtracEthereum الذكية. ثم تم تحميلها لاحقًا عبر مستودعات GitHub مزيفة، انتحلت صفة روبوتات تداول العملات المشفرة. وترتبط هذه العملية بشبكة Stargazer's Ghost Network، وهي نظام هجمات منسقة يعزز مصداقية المستودعات الخبيثة.
