يقوم مجرمو الإنترنت حاليًا بزرع أكواد خبيثة في مشاريع شرعية لسرقة الأصول الرقمية من المستخدمين غير المتوقعين. ووفقًا للتقارير، كشف باحثو الأمن السيبراني عن حملة برمجيات خبيثة متطورة تستهدف مستخدمي العملات الرقمية من خلال حزم npm مخترقة.
بحسب التقرير، يستهدف الهجوم تحديدًا مستخدمي محفظتي Atomic وExodus، حيث يقوم المهاجم باختراق المعاملات عن طريق حقن أكواد خبيثة تُحوّل الأموال إلى محفظته. وتتماشى هذه الحملة الأخيرة مع سلسلة الهجمات المستمرة ضد مستخدمي العملات الرقمية عبر هجمات على سلسلة توريد البرمجيات.
عادةً ما يكون مصدر الهجوم هو المطورون، حيث يقوم معظمهم بتثبيت حزم npm المخترقة في مشاريعهم دون علمهم. إحدى هذه الحزم التي تمdentفي هذه الحملة هي "pdf-to-office"، والتي تبدو طبيعية وشرعية، لكنها تحتوي على أكواد خبيثة مخفية. بعد تثبيتها، تقوم الحزمة بفحص جهاز المستخدم بحثًا عن محافظ العملات الرقمية المثبتة، ثم تحقن الكود الخبيث القادر على اعتراض المعاملات وإعادة توجيهها دون علم المستخدم.
باحثو الأمن السيبراني يرصدون برامج خبيثة تستهدف محافظ العملات الرقمية
يُعدّ تأثير هذا الهجوم كارثيًا على الضحايا، إذ تستطيع البرمجيات الخبيثة إعادة توجيه معاملات العملات الرقمية خلسةً إلى محافظ يتحكم بها المهاجم. وتستهدف هذه الهجمات العديد من الأصول الرقمية، بما في ذلك Ethereum، Solana، و XRP، وUSDT المبنية Tron. وينفذ البرنامج الخبيث هذا الهجوم بفعالية، إذ يُبدّل عناوين المحافظ من العناوين الشرعية إلى عناوين يتحكم بها المهاجم لحظة رغبة المستخدم في إرسال الأموال.
اكتشف ReversingLabs من خلال تحليلهم لحزم npm المشبوهة. وأشار الباحثون إلى وجود العديد من العلامات الدالة على السلوكيات الخبيثة، بما في ذلك روابط عناوين URL المشبوهة وأنماط التعليمات البرمجية المشابهة لحزم خبيثة تم اكتشافها سابقًا. وذكروا أن عددًا من الحملات حاولت استخدام هذه التعليمات البرمجية الخبيثة هذا الأسبوع. ويعتقدون أن المهاجمين يستخدمون هذه التقنية للحفاظ على وجودهم وتجنب الكشف عنهم.
أفادت شركة ReversingLabs: "في الآونة الأخيرة، أطلقت حملة في الأول من أبريل/نيسان حزمة برمجية باسم pdf-to-office على مدير حزم npm، متظاهرةً بأنها مكتبة لتحويل ملفات PDF إلى مستندات Microsoft Office. عند تشغيلها، قامت الحزمة بحقن شيفرة خبيثة في برامج محافظ العملات الرقمية الأصلية المثبتة محليًا، مثل Atomic Wallet وExodus، مما أدى إلى استبدال الملفات الموجودة غير الضارة".
آليات العدوى وحقن الشفرة
بحسب الفحص التقني، فإن الهجوم متعدد المراحل ويبدأ عند تثبيت المستخدم للبرنامج الخبيث. وتتوالى المراحل الأخرى عند التحقق منdentالمحفظة،tracالملفات، وحقن التعليمات البرمجية الخبيثة، وصولاً إلى اختطاف المعاملات. كما يستخدم المهاجمون تقنيات التمويه لإخفاء نواياهم، مما يصعّب على الأدوات التقليدية اكتشافها، وبالتالي يكون الوقت قد فات عند اكتشاف المستخدم للهجوم.
بعد التثبيت، تبدأ الإصابة عندما تُنفّذ الحزمة الخبيثة حمولتها التي تستهدف برنامج المحفظة المُثبّت.dentالكود موقع ملفات تطبيق المحفظة قبل استهداف تنسيق حزمة ASAR المُستخدم في تطبيقاتtron. يبحث الكود تحديدًا عن الملفات في مسارات مثل "AppData/Local/Programs/atomic/resources/app.asar". بمجرد العثور عليها،tracالبرنامج الخبيث أرشيف التطبيق، ويُحقن الكود الخبيث، ثم يُعيد بناء الأرشيف.
تستهدف عمليات الحقن تحديدًا ملفات جافا سكريبت الموجودة داخل برنامج المحفظة، وخاصة ملفات الموردين مثل "vendors.64b69c3b00e2a7914733.js". ثم يقوم البرنامج الخبيث بتعديل كود معالجة المعاملات لاستبدال عناوين المحفظة الحقيقية بعناوين تخص المهاجم باستخدام ترميز base64. على سبيل المثال، عندما يحاول المستخدم إرسال Ethereum، يستبدل الكود عنوان المستلم بنسخة مُفكّكة من العنوان.
بعد اكتمال الإصابة، يتواصل البرنامج الخبيث عبر خادم تحكم، ويرسل معلومات حالة التثبيت، بما في ذلك مسار مجلد المستخدم الرئيسي. يُمكّن هذا المهاجم من trac الإصابات الناجحة، وربما جمع معلومات حول الأنظمة المخترقة. ووفقًا لشركة ReversingLabs، فقد أظهر المسار الخبيث أيضًا أدلة على استمراريته، حيث لا تزال محفظة Web3 موجودة على الأنظمة المصابة حتى بعد إزالة الحزمة.
