تعمل الجهات الفاعلة الضارة الآن على ضخ الرموز الضارة في مشاريع مشروعة لسرقة الأصول الرقمية من المستخدمين المطمئنين. وفقًا للتقارير ، اكتشف باحثو الأمن السيبراني حملة برامج ضارة متطورة تستهدف مستخدمي التشفير من خلال حزم NPM المعرضة للخطر.
وفقًا للتقرير ، يستهدف الهجوم على وجه التحديد مستخدمي محافظ الذرية والهجرة ، مع اختطاف المهاجمين عن طريق حقن الرموز الضارة التي تعيد توجيه الأموال إلى محفظة المهاجم. تتماشى الحملة الأخيرة مع سلسلة الهجمات المستمرة ضد مستخدمي Crypto من خلال هجمات سلسلة التوريد البرمجيات.
عادةً ما يكون أصل الهجوم من المطورين ، حيث يقوم معظمهم بتثبيت حزم NPM المعروفة في مشاريعهم. إحدى هذه الحزم التيdentعنها في هذه الحملة هي "PDF-Office" ، والتي تظهر بشكل طبيعي وتبدو مشروعة ولكنها تحتوي على رموز ضارة خفية. بعد تثبيته ، تقوم الحزمة بمسح جهاز المستخدم لمحافظ التشفير المثبتة ويحقق الكود الضار القادر على اعتراض المعاملات وإعادة توجيهها دون معرفة المستخدم.
باحثو الأمن السيبراني يعلن الرموز الضارة التي تستهدف محافظ التشفير
تأثير هذا الهجوم أمر رائع للغاية بالنسبة للضحايا ، مع الرموز الضارة القادرة على إعادة توجيه معاملات التشفير بصمت إلى المحافظ التي يسيطر عليها المهاجم. تعمل هذه الهجمات عبر العديد من الأصول الرقمية ، بما في ذلك Ethereumو Solanaو XRPو USDT المستند إلى Tron. تنفذ البرامج الضارة هذا الهجوم بشكل فعال ، حيث تقوم بتبديل عناوين المحفظة من العنوان الشرعي إلى العنوان الذي يسيطر عليه المهاجم في الوقت الحالي الذي يريد فيه المستخدم إرسال الأموال.
تم اكتشاف الحملة الضارة من قبل ResperingLabs من خلال تحليلهم لحزم NPM المشبوهة. ذكر الباحثون أن هناك الكثير من علامات السلوكيات الخبيثة بما في ذلك اتصالات URL المشبوهة وأنماط التعليمات البرمجية المشابهة للحزم الضارة المكتشفة سابقًا. وذكروا أنه كان هناك عدد من الحملات التي حاولت استخدام الكود الضار هذا الأسبوع. وهم يعتقدون أن المهاجمين يستخدمون هذه التقنية للحفاظ على المثابرة والتهرب من الكشف.
"في الآونة الأخيرة ، نشرت حملة تم إطلاقها في الأول من أبريل حزمة ، PDF إلى المكتب ، إلى مدير حزمة NPM الذي تم طرحه كمكتبة لتحويل ملفات تنسيق PDF إلى مستندات Microsoft Office. عند تنفيذها ، تم حقن الحزمة من الكود الخبيث في برنامج Crypto Wallet و Exhisting.
آلية العدوى وحقن الكود
وفقًا للفحص الفني ، يكون الهجوم متعدد المراحل ويبدأ عندما يقوم المستخدم بتثبيت الحزمة. يحدث الباقي عندما يتابعون من خلال المحفظة Ident، ملف Extrac، حقن الكود الخبيث ، وفي نهاية المطاف اختطاف المعاملات. يستخدم المهاجمون أيضًا تقنيات التشويش لإخفاء نواياهم ، مما يجعل من الصعب على الأدوات التقليدية استلامها ، مما يجعلها متأخرة جدًا بحلول الوقت الذي يكتشف فيه المستخدم.
بعد التثبيت ، تبدأ العدوى عندما تنفذ الحزمة الضارة برنامج محفظة محفظة مثبتة. الكود الذيdentعن موقع ملفات تطبيق المحفظة قبل استهداف تنسيق حزمة ASAR المستخدمة من قبل التطبيقات المستندة إلى Electron. يبحث الرمز على وجه التحديد عن الملفات في مسارات مثل "APPDATA/LOCAL/PROGRAMES/ASOMIC/ROSECENTION/APP.ASAR". بمجرد تحديد موقعه ، يقوم البرامج الضارةtracأرشيف التطبيق ، ويحقق رمزه الضار ، ثم يعيد بناء الأرشيف.
تستهدف الحقن على وجه التحديد ملفات JavaScript الموجودة داخل برنامج المحفظة ، وخاصة ملفات البائعين مثل "البائعين .64B69C3B00E2A7914733.JS". ثم تقوم البرامج الضارة بتعديل رمز معالجة المعاملات لاستبدال عناوين المحفظة الحقيقية مع تلك التي تنتمي إلى المهاجم باستخدام ترميز BASE64. على سبيل المثال ، عندما يحاول المستخدم إرسال Ethereum، يحل الرمز محل عنوان المستلم بإصدار فك تشفيره من العنوان.
بعد الانتهاء من العدوى ، تقوم البرامج الضارة بالاتصال باستخدام خادم الأوامر والسيطرة ، وإرسال معلومات حالة التثبيت بما في ذلك مسار الدليل الرئيسي للمستخدم. يتيح ذلك للمهاجم تدوين trac وربما جمع معلومات حول الأنظمة المعرضة للخطر. وفقًا لـ ResperingLabs ، أظهر المسار الضار أيضًا دليلًا على الثبات ، مع استمرار محفظة Web3 على الأنظمة حتى عند إزالة الحزمة.
أكاديمية Cryptopolitan: قريبًا - طريقة جديدة لكسب دخل سلبي مع DeFi في عام 2025. تعرف على المزيد
