تم سرقة أصول مستخدمي Solana: مشروع مفتوح المصدر يخفي شيفرة خبيثة
في أوائل يوليو 2025، اكتشف مستخدم بعد استخدام مشروع مفتوح المصدر على GitHub أن أصوله المشفرة قد سُرقت، وطلب المساعدة من فريق الأمان. وبعد التحقيق، تبين أن هذه كانت حادثة هجوم مخطط لها بعناية، تتضمن مشاريع مفتوحة المصدر مزيفة وحزم NPM خبيثة.
قام المحققون بزيارة مستودع GitHub للمشروع الذي وقع فيه الحادث أولاً. على الرغم من أن المشروع يمتلك عددًا كبيرًا من النجوم والتفرعات، إلا أن توقيت تقديم الكود يتركز في قبل ثلاثة أسابيع، مما يفتقر إلى خصائص التحديث المستمر، مما أثار شكوك المحققين.
أظهرت التحليلات الإضافية أن المشروع يعتمد على حزمة طرف ثالث تُسمى crypto-layout-utils. تم سحب هذه الحزمة من قبل NPM، ولا توجد نسخة محددة في package.json في السجلات التاريخية الرسمية لـ NPM.
تظهر الدلائل الرئيسية في ملف package-lock.json: قام المهاجمون باستبدال رابط تحميل crypto-layout-utils بعنوان على GitHub. بعد تنزيل وتحليل هذه الحزمة المشبوهة، اكتشف المحققون أنها تحتوي على كود خبيث معقد للغاية.
بعد إزالة الالتباس، تؤكد هذه الحزمة NPM أنها ستقوم بفحص ملفات الكمبيوتر الخاصة بالمستخدم، بحثًا عن محتوى متعلق بالمحافظ أو المفاتيح الخاصة، وعند العثور عليها، ستقوم بتحميلها إلى الخادم الذي يتحكم فيه المهاجم.
أظهرت التحقيقات أيضًا أن المهاجمين قد يكونون قد سيطروا على حسابات GitHub متعددة، لاستخدامها في نسخ المشاريع الخبيثة وزيادة مصداقيتها. بعض المشاريع ذات الصلة استخدمت حزمة خبيثة أخرى وهي bs58-encrypt-utils-1.0.3، التي بدأت توزيعها منذ 12 يونيو 2025.
من خلال أدوات تحليل السلسلة، تم تتبع عنوان المهاجم الذي قام بسرقة الأموال، حيث قام بنقلها إلى منصة تداول العملات المشفرة.
بشكل عام، كانت هذه الهجمة من خلال التظاهر بمشاريع مفتوحة المصدر شرعية، مما أدى إلى جذب المستخدمين لتنزيل وتشغيل البرامج التي تحتوي على تعليمات برمجية خبيثة. كما أن المهاجمين قاموا بزيادة شهرة المشاريع لزيادة مصداقيتها، مما جعل المستخدمين يقومون بتشغيل المشاريع التي تحتوي على تبعيات خبيثة دون أن يدركوا، مما أدى إلى تسرب المفاتيح الخاصة وسرقة الأصول.
تجمع هذه الطريقة الهجومية بين الهندسة الاجتماعية والأساليب التقنية، مما يجعل من الصعب الدفاع عنها تمامًا حتى داخل المؤسسات. يُنصح المطورون والمستخدمون بأن يكونوا حذرين للغاية تجاه مشاريع GitHub غير المعروفة، خاصة تلك التي تتعلق بمحافظ أو عمليات المفاتيح الخاصة. إذا كان من الضروري تشغيل التصحيح، فمن الأفضل القيام بذلك في بيئة مستقلة وخالية من البيانات الحساسة.
معلومات المشروع المعني والحزمة الخبيثة
تم اكتشاف أن العديد من مستودعات GitHub تشارك في نشر الشيفرة الخبيثة، بما في ذلك على سبيل المثال لا الحصر:
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 22
أعجبني
22
4
مشاركة
تعليق
0/400
MoonlightGamer
· 08-04 19:29
لا بد أن تكون ثغرة SOL الموروثة.
شاهد النسخة الأصليةرد0
LightningAllInHero
· 08-01 19:43
تم خداع الناس لتحقيق الربح مرة أخرى، ولا أتعلم من الدروس.
شاهد النسخة الأصليةرد0
OffchainWinner
· 08-01 19:38
لقد وُلِدَ حمقى جديد
شاهد النسخة الأصليةرد0
CryptoFortuneTeller
· 08-01 19:36
من يثق بمشاريع مفتوح المصدر فعليه أن يتحمل العواقب
تعرض مشروع Solana لهجوم برمجي خبيث تم فيه سرقة المفاتيح الخاصة للمستخدمين وفقدان الأصول
تم سرقة أصول مستخدمي Solana: مشروع مفتوح المصدر يخفي شيفرة خبيثة
في أوائل يوليو 2025، اكتشف مستخدم بعد استخدام مشروع مفتوح المصدر على GitHub أن أصوله المشفرة قد سُرقت، وطلب المساعدة من فريق الأمان. وبعد التحقيق، تبين أن هذه كانت حادثة هجوم مخطط لها بعناية، تتضمن مشاريع مفتوحة المصدر مزيفة وحزم NPM خبيثة.
قام المحققون بزيارة مستودع GitHub للمشروع الذي وقع فيه الحادث أولاً. على الرغم من أن المشروع يمتلك عددًا كبيرًا من النجوم والتفرعات، إلا أن توقيت تقديم الكود يتركز في قبل ثلاثة أسابيع، مما يفتقر إلى خصائص التحديث المستمر، مما أثار شكوك المحققين.
أظهرت التحليلات الإضافية أن المشروع يعتمد على حزمة طرف ثالث تُسمى crypto-layout-utils. تم سحب هذه الحزمة من قبل NPM، ولا توجد نسخة محددة في package.json في السجلات التاريخية الرسمية لـ NPM.
تظهر الدلائل الرئيسية في ملف package-lock.json: قام المهاجمون باستبدال رابط تحميل crypto-layout-utils بعنوان على GitHub. بعد تنزيل وتحليل هذه الحزمة المشبوهة، اكتشف المحققون أنها تحتوي على كود خبيث معقد للغاية.
بعد إزالة الالتباس، تؤكد هذه الحزمة NPM أنها ستقوم بفحص ملفات الكمبيوتر الخاصة بالمستخدم، بحثًا عن محتوى متعلق بالمحافظ أو المفاتيح الخاصة، وعند العثور عليها، ستقوم بتحميلها إلى الخادم الذي يتحكم فيه المهاجم.
أظهرت التحقيقات أيضًا أن المهاجمين قد يكونون قد سيطروا على حسابات GitHub متعددة، لاستخدامها في نسخ المشاريع الخبيثة وزيادة مصداقيتها. بعض المشاريع ذات الصلة استخدمت حزمة خبيثة أخرى وهي bs58-encrypt-utils-1.0.3، التي بدأت توزيعها منذ 12 يونيو 2025.
من خلال أدوات تحليل السلسلة، تم تتبع عنوان المهاجم الذي قام بسرقة الأموال، حيث قام بنقلها إلى منصة تداول العملات المشفرة.
بشكل عام، كانت هذه الهجمة من خلال التظاهر بمشاريع مفتوحة المصدر شرعية، مما أدى إلى جذب المستخدمين لتنزيل وتشغيل البرامج التي تحتوي على تعليمات برمجية خبيثة. كما أن المهاجمين قاموا بزيادة شهرة المشاريع لزيادة مصداقيتها، مما جعل المستخدمين يقومون بتشغيل المشاريع التي تحتوي على تبعيات خبيثة دون أن يدركوا، مما أدى إلى تسرب المفاتيح الخاصة وسرقة الأصول.
تجمع هذه الطريقة الهجومية بين الهندسة الاجتماعية والأساليب التقنية، مما يجعل من الصعب الدفاع عنها تمامًا حتى داخل المؤسسات. يُنصح المطورون والمستخدمون بأن يكونوا حذرين للغاية تجاه مشاريع GitHub غير المعروفة، خاصة تلك التي تتعلق بمحافظ أو عمليات المفاتيح الخاصة. إذا كان من الضروري تشغيل التصحيح، فمن الأفضل القيام بذلك في بيئة مستقلة وخالية من البيانات الحساسة.
معلومات المشروع المعني والحزمة الخبيثة
تم اكتشاف أن العديد من مستودعات GitHub تشارك في نشر الشيفرة الخبيثة، بما في ذلك على سبيل المثال لا الحصر:
حزم NPM الخبيثة:
اسم المجال للخادم الذي يتحكم فيه المهاجم: