هجوم آخر على نظام Solana البيئي - تحليل حادثة سرقة المفتاح الخاص للمستخدم من خلال حزمة NPM الخبيثة

في أوائل يوليو 2025، أثار هجوم استهدف مستخدمي نظام Solana البيئي اهتمام فريق الأمان. اكتشف أحد المستخدمين أن أصوله المشفرة قد سُرقت بعد استخدام مشروع مفتوح المصدر على GitHub. بعد تحقيق عميق، كشف الخبراء الأمنيون عن سلسلة هجوم مدروسة بعناية.

المهاجمون يتنكرون كمشروع مفتوح المصدر شرعي يسمى "solana-pumpfun-bot". يبدو أن مستودع GitHub لهذا المشروع عادي، حيث يمتلك عددًا كبيرًا من النجوم Forks. ومع ذلك، عند النظر عن كثب، نجد أن جميع تواريخ التقديمات مركزة منذ ثلاثة أسابيع، مما يدل على نقص في علامات التحديث المستمر.

أظهرت التحليلات الإضافية أن المشروع يعتمد على حزمة طرف ثالث مشبوهة تُدعى "crypto-layout-utils". هذه الحزمة تم إزالتها من قبل NPM الرسمية، ورقم الإصدار المحدد غير موجود في السجلات الرسمية. قام المهاجمون بتعديل ملف package-lock.json واستبدال رابط تنزيل الحزمة برابط لمستودع GitHub الذي يتحكمون به.

هذه الحزمة الضارة من NPM تم تشويشها بشكل كبير، وتقوم بتنفيذ منطق لمسح ملفات الكمبيوتر الخاصة بالمستخدم. بمجرد اكتشاف محتوى متعلق بالمحفظة أو المفتاح الخاص، سيتم رفعه إلى الخادم الذي يتحكم فيه المهاجم.

اتخذ المهاجمون أيضًا مجموعة من التدابير لزيادة مصداقية المشروع. إنهم يتحكمون في عدة حسابات على GitHub لفورك المشاريع الضارة وتوزيعها، بينما يقومون أيضًا بزيادة عدد الفورك والنجوم للمشروع لجذب المزيد من انتباه المستخدمين.

بجانب "crypto-layout-utils"، تم استخدام حزمة خبيثة أخرى تسمى "bs58-encrypt-utils" في هجمات مماثلة. وهذا يدل على أن المهاجمين قد غيروا استراتيجيتهم بعد إزالة الحزمة من NPM، وبدؤوا في استخدام طريقة استبدال روابط التحميل لمواصلة توزيع الشيفرة الخبيثة.

من خلال أدوات تحليل السلسلة، تم اكتشاف أن جزءًا من الأموال المسروقة تم تحويله إلى منصة تداول معينة.

كشفت هذه الحادثة الهجومية عن المخاطر المحتملة التي تواجهها المجتمعات مفتوحة المصدر. تمكن المهاجمون من انتحال صفة مشاريع شرعية، واستغلوا مزيجًا من الهندسة الاجتماعية والتقنيات، مما أدى إلى خداع المستخدمين لتشغيل الشيفرة الخبيثة، مما تسبب في تسرب المفتاح الخاص وسرقة الأصول.

ينصح خبراء الأمن المطورين والمستخدمين بالتحلي باليقظة العالية تجاه مشاريع GitHub غير المعروفة المصدر، خاصة تلك التي تتعلق بمحافظ أو المفتاح الخاص. إذا كنت بحاجة إلى تصحيح الأخطاء، فمن الأفضل القيام بذلك في بيئة مستقلة ولا تحتوي على بيانات حساسة.

تذكّرنا هذه الحادثة مرة أخرى بأن الوعي الأمني واليقظة لدى المستخدمين أمران حاسمان في عالم مفتوح وغير مركزي. في الوقت نفسه، نطالب أيضًا المنصات والمجتمع بتعزيز الرقابة على المشاريع الخبيثة وآليات الاستجابة السريعة، للحفاظ معًا على نظام بيئي أكثر أمانًا في مجال البلوكشين.