كشف باحثون في مجال الأمن السيبراني عن حزم برمجية مزيفة من نوع npm خاصة Bitcoin ، تقوم بسرقة محافظ العملات الرقمية وأسرار التشفير 

اكتشف باحثون في مختبر Zscaler ThreatLabz ثلاث حزم برمجية خبيثة Bitcoin npm، مصممة لزرع برمجية خبيثة تُدعى NodeCordRAT. وتشير التقارير إلى أن كل حزمة منها حظيت بأكثر من 3400 عملية تنزيل قبل إزالتها من سجل npm.

حصدت الحزم، التي تشمل bitcoin-main-lib و bitcoin-lib-js و bip40، 2300 و193 و970 عملية تنزيل على التوالي. وبنسخ الأسماء والتفاصيل من مكونات Bitcoin حقيقية، جعل المهاجم هذه الوحدات المقلدة تبدو غير ضارة للوهلة الأولى.

قال الباحثان ساتيام سينغ ولاخان باراشار من مختبر Zscaler ThreatLabz: " bitcoin-main-lib و bitcoin-lib-js بتشغيل برنامج postinstall.cjs النصي أثناء التثبيت، والذي يقوم بدوره بتثبيت حزمة bip40 التي تحتوي على الحمولة الخبيثة. تقوم حزمتا هذه الحمولة النهائية، التي أطلق عليها مختبر ThreatLabz اسم NodeCordRAT، هي عبارة عن حصان طروادة للتحكم عن بُعد (RAT) مزود بقدرات على سرقة البيانات."

برنامج NodeCordRAT مُجهز لسرقة بياناتdentجوجل كروم

dentمحللو مختبر Zscaler ThreatLabz هذه المجموعة الثلاثية في نوفمبر أثناء فحص سجل npm بحثًا عن حزم مشبوهة وأنماط تنزيل غريبة. يُمثل NodeCordRAT عائلة برمجيات خبيثة جديدة تستغل خوادم Discord للتواصل والتحكم (C2).

تم تصميم برنامج NodeCordRAT لسرقة معلومات تسجيل الدخول إلى جوجل كروم، ورموز واجهة برمجة التطبيقات (API) المحفوظة في ملفات .env، وبيانات محفظة MetaMask مثل المفاتيح الخاصة وعبارات الاسترداد. وقد استخدم الشخص الذي نشر الحزم الخبيثة الثلاث عنوان البريد الإلكتروني [email protected].

تبدأ سلسلة الهجوم عندما يقوم المطورون، دون علمهم، بتثبيت حزمة bitcoin-main-lib أو bitcoin-lib-js من npm. ثمdentمسار حزمة bip40 وتشغلها في وضع منفصل باستخدام PM2.

يقوم البرنامج الخبيث بإنشاءdentفريد للأجهزة المخترقة باستخدام تنسيق platform-uuid، مثل win32-c5a3f1b4. ويحقق ذلك عن طريقtracمُعرّفات النظام الفريدة (UUIDs) من خلال أوامر مثل wmic csproduct get UUID على نظام ويندوز أو قراءة /etc/machine-id على أنظمة لينكس.

حزم برمجية خبيثة تسببت في سرقات العملات المشفرة

أعلنت شركة Trust Wallet أن سرقة ما يقرب من 8.5 مليون دولار كانت مرتبطة بهجوم على سلسلة توريد نظام npm البيئي بواسطة "Sha1-Hulud NPM". وقد تأثر أكثر من 2500 محفظة.

استخدم المخترقون نسخةً مخترقةً من npm كبرامج خبيثة من نوع NodeCordRAT، بالإضافة إلى برامج خبيثة تستهدف سلاسل التوريد. وقد تم دمجها في شفرة برمجية من جانب العميل لسرقة أموال العملاء عند وصولهم إلى محافظهم الإلكترونية.

من الأمثلة الأخرى لعام 2025 التي تندرج ضمن فئتين تشبهان تهديد NodeCordRAT، ثغرة Force Bridge، التي حدثت بين شهري مايو ويونيو 2025. سرق المهاجمون إما البرنامج أو المفاتيح الخاصة التي تستخدمها عقد التحقق للموافقة على عمليات السحب عبر السلاسل. وقد حوّل هذا العقد إلى جهات خبيثة قادرة على الموافقة على معاملات احتيالية.

أسفر هذا الاختراق عن سرقة أصول تُقدّر قيمتها بنحو 3.6 مليون دولار، بما في ذلك عملات إيثيريوم (ETH) ويو إس دي سي (USDC) ويو إس دي تي (USDT) وغيرها من العملات الرقمية. كما أجبر هذا الاختراق منصة التداول على إيقاف عملياتها وإجراء عمليات تدقيق.

في سبتمبر، Shibarium، وتمكن المهاجمون من السيطرة على معظم صلاحيات التحقق لفترة وجيزة. وكما كشف موقع Cryptopolitan، فقد مكّنهم ذلك من العمل كعُقد تحقق غير شرعية، والموافقة على عمليات سحب غير قانونية، والاستيلاء على ما يقارب 2.8 مليون دولار من SHIBوETH وBONE.