سلسلة التوريد لرموز العملات الرقمية المشفرة: حرب الفيروسات الرقمية على منصات التداول كيف حول قراصنة كوريا الشمالية جافا سكريبت إلى أدوات اختطاف

في مارس 2025، اكتشف مجتمع المطورين العالمي حزمة برمجيات JavaScript مصابة ببرمجيات خبيثة، حيث تجاوز عدد مرات تحميلها المليون مرة. هذه المكونات المفتوحة المصدر التي تبدو طبيعية في الظاهر، كانت تحمل في الواقع برنامج سرقة العملات المشفرة الذي صممه تنظيم هاكرز كوري شمالي يُدعى Lazarus، حيث قام المهاجمون عبر تعديل المكتبات العامة في npm (مدير حزم Node.js) ببناء سلسلة عدوى رقمية تنشر البرمجيات الخبيثة بشكل تلقائي.

تحليل تقني للهجوم المعياري

البرمجيات الخبيثة تعتمد على “اختطاف الاعتمادات” كمنطق أساسي: عندما يقوم المطورون بالاستدعاء لمكتبات طرف ثالث ملوثة في مشروعهم، تقوم الشفرة الخبيثة بمسح ملفات محافظ العملات المشفرة المخزنة محليًا بشكل تلقائي. وتحقق ذلك من خلال ثلاث آليات مخفية:

تمويه البيئة: يتم تفعيل البرنامج فقط عند اكتشاف عنوان IP جغرافي معين أو لغة نظام معينة، لتجنب الكشف أثناء الاختبارات في بيئة معزولة (sandbox)؛

تخمين المفاتيح: يستهدف محفظة سطح المكتب المبنية على إطار Electron، ويستغل صلاحيات نظام الملفات لسرقة المفاتيح الخاصة بالتشفير؛

تشويش على السلسلة: يتم تحويل الأصول المسروقة عبر جسر عبر السلسلة إلى عملة خصوصية، ثم يتم حقنها في مجمعات السيولة في البورصات اللامركزية لغسل الأموال.

منطق ساحة المعركة الجديدة للحرب الرقمية

كشفت هذه الهجمة عن نقاط ضعف قاتلة في بيئة المصادر المفتوحة:

انقطاع سلسلة الثقة: يعتمد أكثر من 78% من مشاريع JavaScript على مكتبات طرف ثالث لم تخضع لتدقيق أمني، ويمكن للمهاجمين اختراق حساب واحد للمحافظين لإفساد شجرة الاعتمادات بأكملها؛

اختلال التوازن الاقتصادي: يتم حقن الأصول المسروقة عبر أدوات التمويه في بروتوكولات DeFi، وتوجه في النهاية إلى شركات وهمية تسيطر عليها كوريا الشمالية، لاستخدامها في شراء تقنيات عسكرية ومدنية؛

تأخر أنظمة الدفاع: لا يمكن لبرامج مكافحة الفيروسات التقليدية التعرف على سلوك الاختطاف المشفر الذي يعمل ضمن عمليات Node.js، كما تفتقر جدران الحماية المؤسسية إلى فحص عميق لحركة مرور npm.

ثلاثة خطوط دفاعية في معركة المطورين ضد الهجمات

لمواجهة تصعيد هجمات سلسلة التوريد، ينصح خبراء الأمن بتنفيذ استراتيجية “الثقة الصفرية في التطوير”:

تتبع الاعتمادات: استخدام أدوات مثل Snyk لمسح شجرة الاعتمادات للمشاريع، ووقف تشغيل المكونات ذات الرخص عالية المخاطر؛

مراقبة وقت التشغيل: دمج أنظمة تحليل سلوكيات في أنابيب CI/CD لمراقبة سلوكيات غير معتادة مثل قراءة ملفات أو طلبات شبكة غير معتادة؛

عزل الأجهزة: تخزين المفاتيح الخاصة بشكل مادي بعيدًا عن بيئة التطوير، واستخدام HSM (وحدة أمان الأجهزة) لتوقيع المعاملات.

هذه الحرب المظلمة على سلسلة التوريد البرمجية تشير إلى أن الحرب الإلكترونية لم تعد تقتصر على الهجمات على الخوادم التقليدية، بل تطورت لتشمل استهداف أدوات المطورين بدقة عالية. مع احتمال أن تكون كل سطر من الشفرة المفتوحة مصدرًا لهجوم من قبل دول معادية، فإن بناء نظام دفاعي بمستوى مناعة شامل سيكون المفتاح لاستمرارية بيئة البلوكشين. **$D **$S **$PLUME **