برامج ضارة تستخدم عقود ذكية من إثيريوم لتجنب الكشف

لقد طور المهاجمون الخبيثون طريقة متطورة لتوزيع البرمجيات الخبيثة من خلال العقود الذكية لإثيريوم، متجاوزين أنظمة الأمان التقليدية. وقد تم تحديد هذه التطورات في الهجمات الإلكترونية من قبل باحثي الأمن السيبراني في ReversingLabs، الذين اكتشفوا برمجيات خبيثة جديدة مفتوحة المصدر في مستودع Node Package Manager (NPM)، وهي مجموعة كبيرة من الحزم والمكتبات JavaScript.

أشارت الباحثة في ReversingLabs، لوتسيا فالنتيتش، في منشور حديث إلى أن الحزم الخبيثة، المعروفة باسم "colortoolsv2" و "mimelib2"، تستخدم العقود الذكية لإثيريوم لإخفاء الأوامر الخبيثة. تعمل هذه الحزم، التي نُشرت في يوليو، كأدوات تحميل تسترجع عناوين خوادم الأوامر والتحكم من العقود الذكية، بدلاً من استضافة روابط خبيثة مباشرة. تُعقّد هذه الطريقة جهود الكشف، حيث يبدو أن حركة المرور على البلوكشين شرعية، مما يسمح للبرمجيات الخبيثة بتثبيت برامج تحميل على الأنظمة المخترقة.

تقنية مبتكرة للتجنب

إن استخدام العقود الذكية لإثيريوم لاستضافة عناوين URL حيث توجد الأوامر الخبيثة يمثل تقنية جديدة في تنفيذ البرمجيات الخبيثة. لاحظ فالينتيć أن هذه الطريقة تمثل تغييرًا كبيرًا في استراتيجيات التهرب من الكشف، حيث يستغل المهاجمون الخبيثون بشكل متزايد مستودعات الشيفرة المفتوحة والمطورين. تم استخدام هذه التكتيك سابقًا من قبل مجموعة لازاروس، المرتبطة بكوريا الشمالية، في بداية هذا العام، لكن النهج الحالي يظهر تطورًا سريعًا في متجهات الهجوم.

حملة احتيال مُعدة

تشكل الحزم الخبيثة جزءًا من حملة خداع أوسع تعمل أساسًا من خلال GitHub. لقد أنشأ المهاجمون الخبيثون مستودعات زائفة لروبوتات تداول العملات المشفرة، مقدمين إياها كموثوقة من خلال عمليات الالتزام المصنوعة، وحسابات المستخدمين الزائفة، والعديد من حسابات المشرفين، ووصف المشاريع والوثائق التي تبدو احترافية. تسعى هذه الاستراتيجية المعقدة للهندسة الاجتماعية إلى التهرب من طرق الكشف التقليدية، من خلال دمج تقنية البلوكتشين مع الممارسات الخادعة.

في عام 2024، وثق باحثو الأمن 23 حملة خبيثة تتعلق بالعملات المشفرة في مستودعات الشيفرة المفتوحة. ومع ذلك، تبرز هذه الوسيلة الأخيرة من الهجوم التطور المستمر للهجمات على المستودعات. بالإضافة إلى إثيريوم، تم استخدام تكتيكات مماثلة في منصات أخرى، مثل مستودع GitHub مزيف يتظاهر بأنه بوت تداول سولانا، يقوم بتوزيع البرمجيات الخبيثة لسرقة بيانات اعتماد محافظ العملات المشفرة. علاوة على ذلك، هاجم القراصنة "Bitcoinlib"، وهي مكتبة بايثون مفتوحة المصدر مصممة لتسهيل تطوير بيتكوين، مما يوضح الطبيعة المتنوعة والقابلة للتكيف لهذه التهديدات الإلكترونية.

الحماية من التهديدات التشفيرية

لحماية أصولك الرقمية من هذا النوع من التهديدات، يجب على المستخدمين تجنب تنزيل البرامج من مصادر غير موثوقة واستخدام برامج مكافحة الفيروسات المحدثة. يُنصح بتنفيذ تدابير أمان قوية، مثل المصادقة ثنائية العامل، والبقاء في حالة تأهب أمام محاولات التصيد. من أجل أمان أكبر، اعتبر استخدام محافظ الأجهزة، التي تحتفظ بالمفاتيح الخاصة خارج الإنترنت وتوفر طبقة إضافية من الحماية ضد هذا النوع من الهجمات المتطورة.

تُبرز هذه التطورات في تقنيات الهجوم أهمية الحفاظ على ممارسات أمنية صارمة في النظام البيئي للعملات المشفرة، خاصة عند التفاعل مع مستودعات الشيفرة المصدرية المفتوحة وتنزيل البرمجيات المتعلقة بالعملات المشفرة.