استغل المتسللون حقل الملاحظات في Solana لتشغيل برامج خبيثة خفية

يتجه المخترقون نحو استخدام أنظمة لامركزية بدلاً من الخوادم التقليدية لمهاجمة المطورين وسرقة أموالهم المشفرة. إنهم يستبدلون خوادم التحكم والسيطرة التقليدية بالكامل بخيارات لامركزية.

في هذا الهجوم، يستغل البرنامج الخبيث تقنية سلسلة كتل Solana . فهو يستخدم حقل الملاحظات في معاملات Solana لتشغيل برامج خبيثة خفية تسرق بيانات محافظ العملات الرقمية، وحتى عبارات استعادة محافظ الأجهزة.

صُمم حقل الملاحظات في الأصل لتدوين ملاحظات المعاملات البسيطة، لكن المهاجمين يستخدمونه الآن كطبقة اتصال خفية. وهذا يحوّل ميزة عامة في سلسلة الكتل إلى قناة سرية للتحكم في البرامج الضارة.

تُعدّ المذكرات اللامركزية، مثل مذكرات Solana، عامة ودائمة، ولا يمكن لأي جهة إزالتها. إضافةً إلى ذلك، يستطيع المهاجمون تحديث التعليمات دون تغيير البرمجيات الخبيثة.

تعتبر هذه الحملة نسخة جديدة من برنامج GlassWorm الخبيث، والذي كان نشطًا منذ عام 2022 على الأقل.

تُستخدم مذكرات Solana كأداة لحل مشكلة نقاط التسليم السرية

بحسب باحثي الأمن في شركة أيكيدو، يتألف الهجوم من ثلاث مراحل أو ثلاث حمولات. المرحلة الأولى/الحمولة الأولى هي مجرد نقطة دخول. تبدأ عندما يقوم مطور بتثبيت حزمة خبيثة من مستودعات مفتوحة المصدر مثل npm أو PyPI أو GitHub أو أسواق Open VSX.

يتحقق البرنامج الخبيث بعد ذلك مما إذا كانت لغة النظام روسية، وإذا كانت كذلك، فإنه يتوقف عن الهجوم. والسبب في ذلك هو أن المهاجمين على الأرجح موجودون في روسيا ولا يرغبون في الوقوع في قبضة السلطات. بمجرد تثبيته، يستخدم البرنامج الخبيث سلسلة كتل Solana لجلب عنوان IP لخادم التحكم والسيطرة (C2) الخاص بالمهاجم. ويبحث عن معاملة محددة على Solana تحتوي على عنوان IP لخادم التحكم والسيطرة في حقل الملاحظات.

ثم يتصل البرنامج الخبيث بخادم التحكم والسيطرة ويبدأ المرحلة الثانية من الهجوم. في هذه المرحلة، يبحث البرنامج عن بيانات العملات الرقمية مثل عبارات الاسترداد والمفاتيح الخاصة، وحتى لقطات شاشة للمحافظ. ويستهدف محافظ إضافات المتصفح مثل MetaMaskوPhantom وCoinbase وExodus و BinanceوRonin وKeplr وغيرها.

يبحث البرنامج الخبيث أيضًا عن بيانات المتصفح مثل جلسات تسجيل الدخول، ورموز الجلسة، والوصول إلى الخدمات السحابية. وهذا يعني أنه يستطيع الوصول إلى حسابات التبادل المركزية، وnpm، وGitHub، وحسابات AWS.

بعد جمع البيانات، يقوم البرنامج الخبيث بضغطها في ملف ZIP، ويرسلها إلى خادم المهاجم.

محافظ الأجهزة المستهدفة عبر التصيد الاحتيالي

تنقسم الحمولة الأخيرة إلى جزأين. الجزء الأول عبارة عن ملف تنفيذي مكتوب بلغة .NET يبحث عن محافظ الأجهزة مثل Ledger وTrezor. إذا عثر على إحداها، فإنه يعرض رسالة خطأ وهمية لخداع المستخدم وحمله على إدخال عبارة الاسترداد الخاصة به.

الجزء الثاني عبارة عن برنامج تجسس (حصان طروادة) يعمل بتقنية WebSocket ويعتمد على جافا سكريبت، ويقوم بسرقة بيانات المتصفح. كما يقوم بتثبيت إضافة وهمية لمتصفح كروم تراقب مواقع محددة، مثل منصات التداول، وتسرق ملفات تعريف الارتباط في الوقت الفعلي. يتم تنزيله عبر حدث في تقويم جوجل كخادم وسيط. تُمكّن هذه الطريقة المهاجم من إخفاء الخادم الحقيقي، وتجاوز مرشحات الأمان، كما أنها تعمل كطبقة توصيل غير مباشرة.

على عكس المرحلة الثانية، حيث يقتصر عمل البرمجية الخبيثة على سرقة بيانات المتصفح، تتمتع هذه البرمجية الخبيثة للتحكم عن بُعد بتحكم مباشر. فهي تبقى نشطة وتراقب المتصفح، وتلتقط ملفات تعريف الارتباط الجديدة، tracالجلسات النشطة مثل حسابات Exchange المسجلة، وتسجل ضغطات المفاتيح، وتلتقط لقطات شاشة. علاوة على ذلك، فهي تسمح للمهاجم بتنفيذ أوامر على جهاز الضحية.

يصعب إزالة دودة الزجاج. يمكن للبرمجية الخبيثة إعادة تحميل نفسها، ويمكنها البقاء حتى بعد إعادة تشغيل الجهاز. كما أنها تستخدم أساليب احتياطية مثل البحث في جداول التجزئة الموزعة (DHT) ومذكرات Solana للعثور على خادم التحكم.

نظراً لعدم وجود خادم مركزي، ولأن البيانات تتم مشاركتها عبر العديد من أجهزة الكمبيوتر، يصبح من الصعب على المدافعين منع الهجوم على مستوى الشبكة.