إثيريوم العقد الذكي استُغل لإخفاء الشيفرة الخبيثة

أخبار Gate

٦ أكتوبر ٢٠٢٥ ٠٣:٢٨

كشفت أبحاث الأمن السيبراني عن عملية برمجيات خبيثة متطورة تستخدم عقود Ethereum الذكية لإخفاء عناوين URL للبرمجيات الضارة. استخدم المهاجمون حزم npm colortoolv2 و mimelib2 كمتجهات تحميل أولية، مما يظهر نهجًا مبتكرًا لتجاوز تدابير الأمان التقليدية.

عند التثبيت، تبدأ هذه الحزم من npm عملية لاسترجاع البرمجيات الخبيثة الثانوية من بنية تحتية للتحكم والأوامر (C2) من خلال التفاعل مع العقود الذكية على إيثريوم. وقد وصفت هذه الطريقة، التي اعتبرها خبير الأمن لوسيا فالنتيك غير مسبوقة، بأنها نجحت في تجاوز الفحوصات التقليدية التي عادة ما تضع علامة على عناوين URL المشبوهة ضمن نصوص الحزمة.

برامج ضارة متخفية في وظائف البلوكشين العامة

تم إعادة استخدام عقود Ethereum الذكية، المصممة كبرامج شفافة لأتمتة عمليات blockchain، من قبل القراصنة لإخفاء الشيفرة الضارة في العلن. استخدم المتجه الهجومي ملف index.js بسيط، والذي عند تنفيذه، استعلام عن blockchain للحصول على معلومات خادم C2.

لاحظ الباحثون أنه في حين أن حزم التنزيل نادرة في npm، فإن استخدام blockchain لاستضافة البرمجيات الضارة يشير إلى تطور في استراتيجيات التهرب. وكشفت تحقيقات إضافية أن هذه الحزم الخبيثة كانت مدفونة في مستودعات GitHub متنكرة كروبوتات تداول العملات المشفرة لمختلف المنصات.

تم إنشاء هذه المستودعات الخادعة لتبدو وكأنها أدوات مهنية شرعية، حيث تتميز بالعديد من الالتزامات والحاويات والنجوم. ومع ذلك، كشفت التحليلات الأعمق عن طبيعتها المزيفة، حيث كانت معظم الالتزامات تغييرات سطحية في ملفات الترخيص بدلاً من تحديثات كود جوهرية.

شبكة منسقة من الفاعلين الخبيثين تم اكتشافها

ربطت التحقيقات هذه الأنشطة بشبكة معقدة من الحسابات مصممة لتعزيز مصداقية المستودعات الخبيثة. استهدفت هذه العملية بشكل خاص المطورين الذين يبحثون عن أدوات العملات المشفرة مفتوحة المصدر، مستغلة الميل إلى معادلة إحصائيات GitHub المتضخمة مع الشرعية.

مع تقدم جهود الكشف، أظهر المهاجمون مرونة من خلال التبديل المتكرر للاعتماديات عبر حسابات مختلفة. تبرز اكتشاف هذه التكتيك التطور السريع لاستراتيجيات التهرب من الكشف التي يستخدمها الفاعلون الخبيثون الذين يتسللون إلى المشاريع مفتوحة المصدر.

فصل جديد في تحديات الأمن السيبراني

هذه الحادثة هي جزء من اتجاه أوسع من الهجمات التي تستهدف نظام blockchain. في وقت سابق من عام 2025، تم اكتشاف حزم npm الضارة الأخرى التي كانت تقوم بتحديث المكتبات الشرعية المتعلقة بالعملات المشفرة برمز يتيح الوصول غير المصرح به. بالإضافة إلى ذلك، تم استغلال منصات موثوقة مثل خدمات التخزين السحابي ومواقع مشاركة الأكواد لإخفاء توزيع التعليمات البرمجية الضارة.

تمثل دمج العقود الذكية على إيثريوم في تسليم البرمجيات الخبيثة نهجًا جديدًا في مشهد التهديدات المتزايد التعقيد. ويبرز ذلك الحاجة الملحة للمطورين للتحقق بدقة من شرعية المكتبات مفتوحة المصدر قبل الدمج.

يؤكد خبراء الأمن أن المؤشرات التقليدية لمصداقية المشروع، مثل عدد النجوم، وتكرار الالتزامات، وعدد المشرفين، يمكن التلاعب بها بسهولة. وينصحون بتقييم شامل لكل مكتبة يتم النظر فيها للإدراج في بيئات التطوير.

بينما تم إزالة الحزم الضارة المحددة وإغلاق الحسابات المرتبطة بها، فإن هذه الحادثة تذكير صارخ بالطبيعة المتطورة لتهديدات أمان البرمجيات في مجال العملات المشفرة.

ضمان الأمان في تطوير البرمجيات المفتوحة المصدر

في ضوء هذه التطورات، يُحث مجتمع العملات المشفرة على ممارسة مزيد من الحذر عند اعتماد أدوات المصدر المفتوح. يجب على المطورين والمشاريع تنفيذ عمليات تحقق قوية والنظر في عوامل متعددة تتجاوز المقاييس السطحية عند تقييم موثوقية المكتبات والموارد الخارجية.

بينما تستمر قطاعات blockchain والعملات المشفرة في الابتكار، يجب أن تتطور أيضًا ممارسات الأمان لمواجهة التحديات الجديدة. تسلط هذه الحادثة الضوء على أهمية اليقظة المستمرة والتكيف في مواجهة التهديدات السيبرانية المتزايدة التعقيد.