“`html
حزمة npm خبيثة تستهدف محافظ Atomic و Exodus لسرقة الأموال
كشف باحثون عن حزمة برمجيات خبيثة تم تحميلها على npm تقوم بتغيير الإصدارات المثبتة محليًا من محافظ العملات المشفرة خلسة، مما يسمح للمهاجمين باعتراض وإعادة توجيه معاملات العملات الرقمية، وفقًا لتقرير حديث صادر عن ReversingLabs.
تفاصيل الاختراق
الحملة الخبيثة حقنت رمزًا ضارًا في برامج Atomic و Exodus المثبتة محليًا، مما أدى إلى اختطاف عمليات تحويل العملات المشفرة. تركز الهجوم على حزمة npm خادعة تسمى “pdf-to-office”، والتي ادعت أنها مكتبة لتحويل ملفات PDF إلى تنسيقات Office.
عند التنفيذ، قامت الحزمة بصمت بتحديد وتعديل إصدارات معينة من محافظ Atomic و Exodus على أجهزة الضحايا، وإعادة توجيه معاملات العملات المشفرة الصادرة إلى محافظ يسيطر عليها المهاجمون.
أفادت ReversingLabs أن الحملة تجسد تحولًا أوسع في التكتيكات: بدلاً من اختراق مكتبات مفتوحة المصدر مباشرةً، مما يؤدي غالبًا إلى استجابات مجتمعية سريعة، يقوم المهاجمون بشكل متزايد بتوزيع حزم مصممة “لتصحيح” التثبيتات المحلية للبرامج الموثوقة ببرامج ضارة خفية.
استهداف تصحيح الملفات
تم تحميل حزمة pdf-to-office لأول مرة على npm في مارس وتم تحديثها عدة مرات خلال أوائل أبريل. على الرغم من وظيفتها المعلنة، افتقرت الحزمة إلى ميزات تحويل الملفات الفعلية.
بدلاً من ذلك، قام البرنامج النصي الأساسي بتنفيذ تعليمات برمجية مشوشة بحثت عن التثبيتات المحلية لـ Atomic Wallet و Exodus Wallet وقامت باستبدال ملفات التطبيق الرئيسية بمتغيرات ضارة.
استبدل المهاجمون ملفات JavaScript المشروعة داخل أرشيف resources/app.asar بإصدارات حصان طروادة متطابقة تقريبًا استبدلت عنوان المستلم المقصود للمستخدم بمحفظة بفك تشفير base64 مملوكة للمهاجم.
بالنسبة إلى Atomic Wallet، تم استهداف الإصدارين 2.90.6 و 2.91.5 تحديدًا. وفي الوقت نفسه، تم تطبيق طريقة مماثلة على Exodus Wallet بالإصدارين 25.9.2 و 25.13.3.
بمجرد تعديلها، ستستمر المحافظ المصابة في إعادة توجيه الأموال حتى إذا تمت إزالة حزمة npm الأصلية. كانت الإزالة الكاملة وإعادة تثبيت برنامج المحفظة ضرورية للتخلص من التعليمات البرمجية الضارة.
لاحظت ReversingLabs أيضًا محاولات البرامج الضارة للإصرار والتشويش. أرسلت الأنظمة المصابة بيانات حالة التثبيت إلى عنوان IP يتحكم فيه المهاجم (178.156.149.109)، وفي بعض الحالات، تم تسريب سجلات وملفات تتبع مضغوطة من برنامج الوصول عن بعد AnyDesk، مما يشير إلى الاهتمام بالتسلل الأعمق إلى النظام أو إزالة الأدلة.
توسيع نطاق تهديدات سلسلة التوريد البرمجية
يأتي الاكتشاف في أعقاب حملة مماثلة في مارس تضمنت ethers-provider2 و ethers-providerz، والتي قامت بتصحيح حزمة npm الخاصة بـ ethers لإنشاء أغلفة عكسية. يسلط كلا الحادثين الضوء على التعقيد المتزايد لهجمات سلسلة التوريد التي تستهدف مجال العملات المشفرة.
حذرت ReversingLabs من أن هذه التهديدات مستمرة في التطور، خاصة في بيئات web3 حيث تكون التثبيتات المحلية لحزم مفتوحة المصدر شائعة. يعتمد المهاجمون بشكل متزايد على الهندسة الاجتماعية وطرق الإصابة غير المباشرة، مع العلم أن معظم المؤسسات تفشل في التدقيق في التبعيات المثبتة بالفعل.
وفقًا للتقرير:
“لا يزال هذا النوع من هجوم التصحيح قابلاً للتطبيق لأنه بمجرد تثبيت الحزمة وتطبيق التصحيح، يستمر التهديد حتى إذا تمت إزالة وحدة npm المصدر.”
تم الإبلاغ عن الحزمة الضارة بواسطة خوارزميات التعلم الآلي الخاصة بـ ReversingLabs بموجب سياسة Threat Hunting TH15502. تمت إزالته منذ ذلك الحين من npm، ولكن نسخة معاد نشرها بنفس الاسم والإصدار 1.1.2 ظهرت لفترة وجيزة، مما يشير إلى إصرار الجهة الفاعلة المهددة.
نشر المحققون تجزئة الملفات المتأثرة وعناوين المحافظ المستخدمة من قبل المهاجمين كمؤشرات للاختراق (IOCs). وتشمل هذه المحافظ المستخدمة لإعادة توجيه الأموال بشكل غير قانوني، بالإضافة إلى بصمات SHA1 لجميع إصدارات الحزمة المصابة وملفات طروادة المرتبطة بها.
مع تزايد وتيرة هجمات سلسلة التوريد البرمجية وتطورها من الناحية الفنية، خاصة في مجال الأصول الرقمية، يدعو خبراء الأمان إلى تدقيق أكثر صرامة للكود وإدارة التبعيات والمراقبة في الوقت الفعلي للتغييرات في التطبيقات المحلية.
تم الإبلاغ عن الحزمة الضارة بواسطة خوارزميات التعلم الآلي الخاصة بـ ReversingLabs بموجب سياسة Threat Hunting TH15502. تمت إزالته منذ ذلك الحين من npm، ولكن نسخة معاد نشرها بنفس الاسم والإصدار 1.1.2 ظهرت لفترة وجيزة، مما يشير إلى إصرار الجهة الفاعلة المهددة.
نشر المحققون تجزئة الملفات المتأثرة وعناوين المحافظ المستخدمة من قبل المهاجمين كمؤشرات للاختراق (IOCs). وتشمل هذه المحافظ المستخدمة لإعادة توجيه الأموال بشكل غير قانوني، بالإضافة إلى بصمات SHA1 لجميع إصدارات الحزمة المصابة وملفات طروادة المرتبطة بها.
مع تزايد وتيرة هجمات سلسلة التوريد البرمجية وتطورها من الناحية الفنية، خاصة في مجال الأصول الرقمية، يدعو خبراء الأمان إلى تدقيق أكثر صرامة للكود وإدارة التبعيات والمراقبة في الوقت الفعلي للتغييرات في التطبيقات المحلية.
“`
