لقد صادفت شيئًا مقلقًا جدًا كشف عنه باحثو الأمن في ReversingLabs. من الواضح أن مجموعة قرصنة كورية شمالية تمكنت من إدخال رمز خبيث في أداة تداول عملات مشفرة شهيرة عن طريق تمويهه في حزمة npm تسمى PromptMink.

إليك كيف حدث الأمر: اكتشفت شركة ReversingLabs أن هذا الباب الخلفي تم إنشاؤه باستخدام نموذج الذكاء الاصطناعي الخاص بـ Claude وزرعه في openpaw-graveyard، وهو مشروع مفتوح المصدر للعملات المشفرة. المهاجمون وراء ذلك ينتمون إلى مجموعة Famous Chollima، وهي مجموعة مدعومة من الدولة وتدير هذه العملية منذ سبتمبر 2025 على الأقل. نهجهم متطور جدًا في الواقع - يستخدمون استراتيجية ذات طبقتين حيث تبدو الحزمة الأولى نظيفة لكن الثانية تحمل الحمولة الحقيقية. عندما يزيل المطورون النسخة الخبيثة، يقومون ببساطة بدفع بديل في نفس اليوم.

ما يجعل الأمر أسوأ هو تطور البرمجية الخبيثة. فهي الآن مجمعة كحمولة Rust تتسبب في أضرار جسيمة بمجرد تثبيتها. نحن نتحدث عن سرقة بيانات اعتماد المحافظ، جمع معلومات النظام، استخراج رمز المصدر، وزرع مفاتيح SSH للوصول المستمر من خلال باب خلفي على أنظمة Linux و Windows.

تتابع شركة ReversingLabs هذا الأمر، وهو تذكير صارخ بمدى هشاشة سلسلة التوريد في مجال العملات المشفرة. تستهدف هذه الهجمات الأدوات التي يستخدمها المطورون يوميًا، مما يعني أنها قد تعرض مشاريع كاملة للخطر. حقيقة أنهم يستخدمون رمزًا مولدًا بواسطة الذكاء الاصطناعي لتجنب الكشف يجعل الأمر أكثر تعقيدًا. إذا كنت تستخدم أدوات للعملات المشفرة، خاصة أي شيء يستند إلى حزم npm، فمن المهم الانتباه لهذا. تأكد من أن الاعتمادات الخاصة بك تأتي من مصادر موثوقة وابقِ أنظمتك محدثة.