مطوروا العملات الرقمية يواجهون تهديدًا جديدًا من برامج ضارة تعتمد على كلاود

مشروع تداول تشفير مفتوح المصدر تلقى حزمة npm خبيثة تسمى @validate-sdk/v2 بعد أن جعلها نموذج الذكاء الاصطناعي كلود أوبوس من أنثروبيك اعتمادًا له.
هذا أعطى القراصنة وصولاً إلى محافظ وموارد المستخدمين من العملات الرقمية.

وجد باحثو الأمن من ReversingLabs (RL) الاختراق في مشروع openpaw-graveyard، وهو وكيل تداول تشفير مستقل مستضاف على npm.
سموه PromptMink.

تم إجراء الالتزام السيئ في 28 فبراير 2026.
تقول ReversingLabs إن الحزمة تتظاهر بأنها أداة للتحقق من البيانات لكنها في الواقع تسرق الأسرار من بيئة المضيف.

قراصنة كوريون شماليون مرتبطون ببرمجية PromptMink الخبيثة

قالت ReversingLabs إن الهجوم جاء من مجموعة التهديدات المدعومة من الدولة الكورية الشمالية المعروفة باسم Famous Chollima.

كانت المجموعة تنتشر حزم npm خبيثة منذ على الأقل سبتمبر 2025.
وكانوا يحسنون استراتيجية ذات طبقتين تهدف إلى خداع كل من المطورين البشريين ومساعدي التشفير بالذكاء الاصطناعي.

الطبقة الأولى تتكون من حزم لا تحتوي على أي رمز خبيث.
هذه الحزم “الطُعم”، مثل @solana-launchpad/sdk و @meme-sdk/trade، تبدو كأدوات حقيقية لمطوري العملات الرقمية.

يذكرون بعض حزم الطبقة الثانية التي تحمل الحمولة الفعلية، بالإضافة إلى حزم npm الشهيرة مثل axios و bn.js كاعتمادات.

عندما يتم الإبلاغ عن حزم الطبقة الثانية وإزالتها من npm، يضع المهاجمون حزمة جديدة دون أن يفقدوا السمعة التي بنوها حول حزم الطُعم.

تقول ReversingLabs إنه عندما أُزيلت @hash-validator/v2 من npm، أطلق المهاجمون @validate-sdk/v2 في نفس اليوم بنفس رقم الإصدار ونفس الشفرة المصدرية.

الوكيل الذكي أكثر عرضة للاختراق من البشر

ذكر باحثو الأمن أن طريقة Famous Chollima تبدو أكثر ملاءمة لاستغلال مساعدي التشفير بالذكاء الاصطناعي من المطورين البشريين.
تكتب المجموعة وثائق طويلة ومفصلة لحزمها الخبيثة، والتي يسميها الباحثون “إساءة استغلال تحسين نماذج اللغة الكبيرة (LLM)”.

الهدف هو جعل الحزم تبدو حقيقية بما يكفي ليقترحها ويثبتها وكلاء الذكاء الاصطناعي دون أي مشاكل.
تم “برمجتها بشكل متماسك” بواسطة أدوات الذكاء الاصطناعي التوليدية.
وتُرى ردود نماذج اللغة الكبيرة المتبقية في تعليقات الملفات.

من أواخر 2025، اتخذت برمجية PromptMink أشكالًا متعددة.

بدأت كأداة سرقة معلومات JavaScript بسيطة، ثم تطورت إلى تطبيقات تنفيذية كبيرة، والآن تأتي كحمولات Rust مجمعة مصممة لتكون خفية، وفقًا لـ ReversingLabs.

عند تثبيت البرمجية الخبيثة، تبحث عن ملفات التكوين المتعلقة بالعملات الرقمية، وتسرق بيانات المحافظ ومعلومات النظام، وتضغط وترسل شفرة المصدر للمشروع إلى نفسها، وتضع مفاتيح SSH على أنظمة Linux و Windows بحيث يمكنها الوصول إليها عن بُعد دائمًا.

حملة PromptMink ليست الهجمة الأخيرة الوحيدة التي تستهدف مطوري العملات الرقمية عبر مديري الحزم.

في الشهر الماضي، أبلغت Cryptopolitan عن GhostClaw، وهي برمجية خبيثة استهدفت مجتمع OpenClaw من خلال مثبت npm مزيف.
جمعت بيانات محافظ العملات الرقمية، كلمات مرور Keychain على macOS، ورموز API لمنصة الذكاء الاصطناعي من 178 مطورًا قبل إزالتها من سجل npm.

تستخدم PromptMink و GhostClaw الهندسة الاجتماعية كنقطة دخول، وتستهدف المطورين العاملين في مجال العملات الرقمية وWeb3.
ما يميز PromptMink هو أنها تستهدف وكلاء التشفير بالذكاء الاصطناعي وتستخدمهم كمسار للهجوم.

أذكى عقول العملات الرقمية قرأت بالفعل نشرنا الإخباري.
هل تريد الانضمام؟ انضم إليهم.