هاكر يستخدم العقود الذكية لإثيريوم لإخفاء البرمجيات الخبيثة: تحليل التهديدات الجديدة

اكتشف فريق بحث ReversingLabs مؤخرًا نشاطًا هجومياً يستخدم العقود الذكية لإثيريوم لإخفاء عناوين URL للبرمجيات الخبيثة. تظهر الدراسة أن المهاجمين يستخدمون حزمة npm colortoolv2 و mimelib2 كأدوات لتحميل البرمجيات الخبيثة.

ستقوم حزم npm هذه بعد التثبيت بالاستعلام عن العقود الذكية لإثيريوم للحصول على أوامر وبيانات التحكم في البرمجيات الخبيثة من المرحلة الثانية (C2). قالت الباحثة في ReversingLabs لوتسيا فالينتيك إن هذه الطريقة في الهجوم مبتكرة للغاية، ولم تحدث من قبل. يمكن لأسلوب المهاجمين هذا تجاوز المسح التقليدي، حيث إن هذه الفحوصات عادةً ما تقوم فقط بتحديد عناوين URL المشبوهة في نصوص الحزم.

المهاجمون يخفيون البرمجيات الخبيثة بذكاء

إثيريوم العقود الذكية هي برامج آلية على سلسلة الكتل العامة. في هذا الهجوم، استغل القراصنة العقود الذكية لإخفاء الشيفرة الخبيثة عن الأنظار العامة. تم إخفاء الحمولة الخبيثة في ملف index.js بسيط، وعند التنفيذ، سيتصل بسلسلة الكتل للحصول على تفاصيل خادم C2.

أظهرت أبحاث ReversingLabs أن حزم التنزيل ليست شائعة على npm، بينما تشير استضافة blockchain إلى أن تقنيات التهرب من الكشف دخلت مرحلة جديدة.

إشعار أمني: يجب على المطورين توخي الحذر الشديد عند استخدام المكتبات مفتوحة المصدر، خاصة تلك التي تتعلق بوظائف العملات المشفرة. يُوصى بإجراء تدقيق أمني شامل قبل إدخال أي تبعيات من طرف ثالث.

المهاجمون يزورون مستودع GitHub لزيادة المصداقية

قام الباحثون بإجراء مسح شامل على GitHub، واكتشفوا أن هذه الحزم npm تم تضمينها في مستودعات تتنكر كروبوتات لتداول العملات المشفرة، مثل Solana-trading-bot-v2 و Hyperliquid-trading-bot-v2. تم التظاهر بأن هذه المستودعات أدوات احترافية، حيث تحتوي على العديد من عمليات الدفع، والحاويات، والنجوم، لكنها في الواقع كلها وهمية.

أظهرت الأبحاث أن الحسابات التي تقوم بتقديم أو تفرع هذه المستودعات تم إنشاؤها في يوليو، ولا تظهر أي نشاط ترميز. تحتوي معظم مستودعات الحسابات على ملف README مضمّن. كشفت التحقيقات أن عدد التقديمات تم توليده بشكل مصطنع من خلال عملية آلية، من أجل تضخيم نشاط الترميز. على سبيل المثال، معظم التقديمات المسجلة هي مجرد تعديلات على ملفات الترخيص، بدلاً من تحديثات جوهرية.

إشعار أمني: يجب على مستخدمي CEX ومستثمري العملات المشفرة عند استخدام أدوات مفتوحة المصدر على GitHub ألا يعتمدوا فقط على عدد النجوم، وتكرار الالتزامات، وغيرها من البيانات السطحية لتقييم موثوقية المشروع. يُنصح بإجراء فحص عميق لجودة الكود وحالة الصيانة.

إثيريوم بلوكتشين البرمجيات الخبيثة تضمين علامات تهديد الكشف عن مرحلة جديدة

الهجوم الذي تم اكتشافه هذا هو الأحدث في سلسلة من الهجمات على نظام البلوكشين البيئي. في شهر مارس من هذا العام، اكتشفت ResearchLabs أيضًا حزم npm خبيثة أخرى، والتي قامت بتعديل حزمة Ethers الشرعية من خلال إدخال رمز shell عكسي.

أظهرت الأبحاث أنه تم تسجيل 23 حادثة متعلقة بالعملات المشفرة في عام 2024، تشمل أشكالاً متعددة مثل البرمجيات الخبيثة وتسرب الشهادات.

على الرغم من أن الاكتشاف الحالي استخدم بعض الأساليب القديمة، إلا أنه قدم العقود الذكية لإثيريوم كآلية جديدة. أشار باحثو Valentic إلى أن هذا يبرز التطور السريع للجهات الفاعلة الخبيثة في تجنب الكشف، حيث يبحثون باستمرار عن طرق جديدة لاختراق المشاريع مفتوحة المصدر وبيئات المطورين.

الإشارات الأمنية: بالنسبة لمنصات CEX والمستخدمين، تعني هذه التهديدات الجديدة الحاجة إلى تعزيز تدقيق أمان العقود الذكية، وزيادة مراقبة العقود التي قد يتم إساءة استخدامها. يجب على المنصات النظر في تنفيذ آليات مراجعة رموز الطرف الثالث الأكثر صرامة.

على الرغم من أن حزمة npm المعنية colortoolsv2 و mimelib2 قد أزيلت من npm وأن حسابات GitHub ذات الصلة قد أُغلقت، إلا أن هذه الحادثة تبرز التطور المستمر لنظام تهديدات البرمجيات. إنها تذكرنا بأنه حتى الميزات التي تبدو غير ضارة في إثيريوم يمكن أن يستغلها المتسللون، مما يجعلها مصدر خطر أمني محتمل.