مشروع Node.js خبيث يستغل حزمة NPM لسرقة المفتاح الخاص لمستخدمي Solana
في أوائل يوليو 2025، أثارت حادثة سرقة الأصول ضد مستخدمي Solana اهتمام خبراء الأمن. اكتشف أحد الضحايا بعد استخدام مشروع مفتوح المصدر "solana-pumpfun-bot" المستضاف على GitHub أن أصوله المشفرة قد سُرقت.
بعد أن قامت فريق الأمان بإجراء التحقيق، تم اكتشاف أن المشروع في الواقع هو فخ مصمم بعناية. على الرغم من أن عدد النجوم والفورك للمشروع مرتفع، إلا أن توقيت تقديم الشيفرة غير طبيعي ومركّز، مما يفتقر إلى السمات المستمرة التي ينبغي أن يتمتع بها المشروع العادي.
أظهر التحليل المتعمق أن المشروع يعتمد على حزمة طرف ثالث مشبوهة تُدعى "crypto-layout-utils". وقد تمت إزالة هذه الحزمة من قبل NPM، كما أن الإصدار المحدد غير موجود في السجل الرسمي. تمكن المهاجمون من تجاوز آلية الأمان الخاصة بـ NPM من خلال استبدال رابط التنزيل في ملف package-lock.json.
بعد تنزيل وتحليل هذه الحزمة الضارة المعقدة، أكد فريق الأمان أنها تستطيع مسح ملفات الكمبيوتر الخاصة بالمستخدم، وعند اكتشاف أي محتوى يتعلق بالمحافظ أو المفتاح الخاص، ستقوم برفعه إلى الخادم الذي يتحكم فيه المهاجم.
علاوة على ذلك، قد يكون المهاجمون قد سيطروا على عدة حسابات على GitHub، لاستخدامها في توزيع البرامج الضارة وزيادة مصداقية المشاريع. تم استخدام حزمة خبيثة أخرى "bs58-encrypt-utils" أيضًا في بعض المشاريع المFork.
من خلال تحليل سلسلة الكتل، اكتشف الخبراء أن الأموال المسروقة قد تم تحويلها إلى منصة تداول معينة.
تسلط هذه الحادثة الضوء على خطر وجود تعليمات برمجية خبيثة مخفية في المشاريع مفتوحة المصدر. استغل المهاجمون المشاريع المشروعة المتخفية والشعبية المتزايدة، مما أدى إلى إغواء المستخدمين لتشغيل مشاريع Node.js تحتوي على تبعيات خبيثة، مما أدى إلى تسرب المفاتيح الخاصة وسرقة الأصول.
ينصح خبراء الأمن المطورين والمستخدمين بضرورة توخي الحذر الشديد تجاه المشاريع على GitHub ذات المصدر غير المعروف، خاصة عندما يتعلق الأمر بمحافظ أو المفتاح الخاص. إذا كان من الضروري إجراء تصحيح، فمن الأفضل القيام بذلك في بيئة مستقلة وخالية من البيانات الحساسة.
تجمع هذه الأنواع من الهجمات بين الهندسة الاجتماعية ووسائل تقنية، حتى داخل المؤسسات، يصعب الدفاع عنها تمامًا. يجب على المستخدمين أن يكونوا حذرين عند استخدام المشاريع مفتوحة المصدر لحماية أصولهم.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
حزم NPM الضارة تتنكر في مشاريع Solana لسرقة المفاتيح الخاصة للمستخدمين مما يؤدي إلى إنذار أمني
مشروع Node.js خبيث يستغل حزمة NPM لسرقة المفتاح الخاص لمستخدمي Solana
في أوائل يوليو 2025، أثارت حادثة سرقة الأصول ضد مستخدمي Solana اهتمام خبراء الأمن. اكتشف أحد الضحايا بعد استخدام مشروع مفتوح المصدر "solana-pumpfun-bot" المستضاف على GitHub أن أصوله المشفرة قد سُرقت.
بعد أن قامت فريق الأمان بإجراء التحقيق، تم اكتشاف أن المشروع في الواقع هو فخ مصمم بعناية. على الرغم من أن عدد النجوم والفورك للمشروع مرتفع، إلا أن توقيت تقديم الشيفرة غير طبيعي ومركّز، مما يفتقر إلى السمات المستمرة التي ينبغي أن يتمتع بها المشروع العادي.
أظهر التحليل المتعمق أن المشروع يعتمد على حزمة طرف ثالث مشبوهة تُدعى "crypto-layout-utils". وقد تمت إزالة هذه الحزمة من قبل NPM، كما أن الإصدار المحدد غير موجود في السجل الرسمي. تمكن المهاجمون من تجاوز آلية الأمان الخاصة بـ NPM من خلال استبدال رابط التنزيل في ملف package-lock.json.
بعد تنزيل وتحليل هذه الحزمة الضارة المعقدة، أكد فريق الأمان أنها تستطيع مسح ملفات الكمبيوتر الخاصة بالمستخدم، وعند اكتشاف أي محتوى يتعلق بالمحافظ أو المفتاح الخاص، ستقوم برفعه إلى الخادم الذي يتحكم فيه المهاجم.
علاوة على ذلك، قد يكون المهاجمون قد سيطروا على عدة حسابات على GitHub، لاستخدامها في توزيع البرامج الضارة وزيادة مصداقية المشاريع. تم استخدام حزمة خبيثة أخرى "bs58-encrypt-utils" أيضًا في بعض المشاريع المFork.
من خلال تحليل سلسلة الكتل، اكتشف الخبراء أن الأموال المسروقة قد تم تحويلها إلى منصة تداول معينة.
تسلط هذه الحادثة الضوء على خطر وجود تعليمات برمجية خبيثة مخفية في المشاريع مفتوحة المصدر. استغل المهاجمون المشاريع المشروعة المتخفية والشعبية المتزايدة، مما أدى إلى إغواء المستخدمين لتشغيل مشاريع Node.js تحتوي على تبعيات خبيثة، مما أدى إلى تسرب المفاتيح الخاصة وسرقة الأصول.
ينصح خبراء الأمن المطورين والمستخدمين بضرورة توخي الحذر الشديد تجاه المشاريع على GitHub ذات المصدر غير المعروف، خاصة عندما يتعلق الأمر بمحافظ أو المفتاح الخاص. إذا كان من الضروري إجراء تصحيح، فمن الأفضل القيام بذلك في بيئة مستقلة وخالية من البيانات الحساسة.
تجمع هذه الأنواع من الهجمات بين الهندسة الاجتماعية ووسائل تقنية، حتى داخل المؤسسات، يصعب الدفاع عنها تمامًا. يجب على المستخدمين أن يكونوا حذرين عند استخدام المشاريع مفتوحة المصدر لحماية أصولهم.