برمجيات خبيئة تسرق عملات الإيثريوم والريبل والسولانا من المحافظ الرقمية بصمت – اكتشف كيف تحمي أموالك الآن!

موجه السوق16 أبريل، 2025آخر تحديث: 16 أبريل، 2025

دقيقة واحدة

برمجيات خبيئة تسرق عملات الإيثريوم والريبل والسولانا من المحافظ الرقمية بصمت – اكتشف كيف تحمي أموالك الآن!

كشف باحثون في الأمن السيبراني عن تفاصيل حملة برمجية خبيثة تستهدف مستخدمي عملات الإيثيريوم (ETH)، الريبل (XRP)، وسولانا (SOL).

محتويات المقالة

كيفية عمل الهجوم

يركز الهجوم بشكل رئيسي على مستخدمي محافظ Atomic وExodus من خلال حزم npm (مدير حزم Node.js) المخترقة. حيث يقوم بإعادة توجيه المعاملات إلى عناوين يتحكم فيها المهاجمون دون علم صاحب المحفظة.

بداية الهجوم

يبدأ الهجوم عندما يقوم المطورون بتثبيت حزم npm مخترقة في مشاريعهم دون علم. وحدد الباحثون حزمة “pdf-to-office” كإحدى الحزم المخترقة التي تبدو شرعية ولكنها تحتوي على كود ضار مخفي.

آلية الاختراق

بمجرد التثبيت، تفحص الحزمة النظام بحثًا عن محافظ العملات المشفرة المثبتة.
تحقن الحزمة كودًا ضارًا يعترض المعاملات.

تصعيد في الاستهداف

أشار الباحثون في تقريرهم إلى أن “هذه الحملة تمثل تصعيدًا في استهداف مستخدمي العملات المشفرة عبر هجمات سلسلة التوريد البرمجية”.

العملات المتأثرة

يمكن للبرمجية الخبيثة إعادة توجيه المعاملات عبر عدة عملات مشفرة، بما في ذلك:

الإيثيريوم (ETH)
الـ USDT المبني على شبكة ترون
الريبل (XRP)
سولانا (SOL)

كيف تم اكتشاف الهجوم؟

اكتشفت شركة ReversingLabs الحملة من خلال تحليل حزم npm المشبوهة، وحددت مؤشرات متعددة لسلوك ضار، بما في ذلك اتصالات URL مشبوهة وأنماط كود تتطابق مع تهديدات معروفة سابقًا.

مراحل الهجوم

تبدأ العملية عندما تنفذ الحزمة الضارة حمولتها المستهدفة لبرامج المحافظ المثبتة.
يبحث الكود عن ملفات التطبيقات في مسارات محددة.
يستخرج البرنامج الخبيث أرشيف التطبيق ويحقن الكود الضار قبل إعادة تعبئته ليبدو طبيعيًا.

تعديل العناوين

يغير البرنامج الخبيث كود معالجة المعاملات لاستبدال عناوين المحافظ الشرعية بعناوين يتحكم فيها المهاجمون باستخدام ترميز base64.

الخطر الحقيقي

تكمن خطورة هذا البرنامج في أن المعاملات تظهر طبيعية في واجهة المحفظة بينما يتم إرسال الأموال إلى المهاجمين. ولا يكتشف المستخدمون أن معاملاتهم قد تم اختراقها إلا بعد التحقق من سجل البلوكشين.