تقوم العقود الذكية في Ethereum بهدوء بدفع برمجيات خبيثة جافاسكريبت تستهدف المطورين

يستخدم القراصنة العقود الذكية على Ethereum لإخفاء حمولات البرمجيات الخبيثة داخل حزم npm التي تبدو بريئة، وهي استراتيجية تحول البلوكشين إلى قناة أوامر مرنة وتصعّب عمليات الإزالة.

قامت ReversingLabs بتفصيل حزمتين من npm، هما colortoolsv2 و mimelib2، تقرآن عقدًا على Ethereum لجلب عنوان URL لمحمّل المرحلة الثانية بدلاً من ترميز البنية التحتية مباشرة في الحزمة نفسها، وهو خيار يقلل من المؤشرات الثابتة ويترك أدلة أقل في مراجعات الشيفرة المصدرية.

ظهرت هذه الحزم في يوليو وتمت إزالتها بعد الكشف عنها. تتبعت ReversingLabs ترويجها إلى شبكة من مستودعات GitHub التي ادعت أنها روبوتات تداول، بما في ذلك solana-trading-bot-v2، مع نجوم وهمية، وسجلات التزام منتفخة، وصيانين وهميين، وهي طبقة اجتماعية وجهت المطورين نحو سلسلة الاعتماد الخبيثة.

كانت التنزيلات قليلة، لكن الأسلوب مهم. وفقًا لـ The Hacker News، حصلت colortoolsv2 على سبعة تنزيلات و mimelib2 على تنزيل واحد، وهو ما يناسب استهداف المطورين بشكل انتهازي. الآن، أدرجت Snyk و OSV كلتا الحزمتين كخبيثتين، مما يوفر فحوصات سريعة للفرق التي تدقق في البنى التاريخية.

التاريخ يعيد نفسه

تعكس قناة الأوامر على السلسلة حملة أوسع تتبعها الباحثون في أواخر 2024 عبر مئات من حزم npm التي تستغل أخطاء الكتابة. في تلك الموجة، نفذت الحزم نصوص تثبيت أو ما قبل التثبيت استعلمت عن عقد Ethereum، واسترجعت عنوان URL أساسي، ثم حمّلت حمولات خاصة بأنظمة التشغيل باسم node-win.exe أو node-linux أو node-macos.

وثقت Checkmarx عقدًا أساسيًا عند 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b مقترنًا بمعامل محفظة 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84، مع بنية تحتية ملحوظة عند 45.125.67.172:1337 و 193.233.201.21:3001، من بين عناوين أخرى.

تُظهر إزالة الغموض من Phylum استدعاء ethers.js لدالة getString(address) على نفس العقد وتسجيل دوران عناوين C2 مع مرور الوقت، وهو سلوك يحول حالة العقد إلى مؤشر متحرك لاسترجاع البرمجيات الخبيثة. قامت Socket برسم خريطة لطوفان أخطاء الكتابة بشكل مستقل ونشرت مؤشرات تطابق، بما في ذلك نفس العقد والمحفظة، مؤكدة الاتساق عبر المصادر.

ثغرة قديمة لا تزال مزدهرة

تؤطر ReversingLabs حزم 2025 كاستمرار في التقنية وليس في النطاق، مع لمسة أن العقد الذكي يستضيف عنوان URL للمرحلة التالية، وليس الحمولة نفسها.

يهدف عمل التوزيع عبر GitHub، بما في ذلك المراقبين المزيفين وسجلات الالتزام الروتينية، إلى اجتياز التدقيق السطحي والاستفادة من تحديثات الاعتماد التلقائية داخل نسخ المستودعات المزيفة.

يشبه التصميم الاستخدام السابق للمنصات الخارجية للتوجيه غير المباشر، مثل GitHub Gist أو التخزين السحابي، لكن التخزين على السلسلة يضيف عدم القابلية للتغيير، وقابلية القراءة العامة، ومكانًا محايدًا لا يمكن للمدافعين إيقافه بسهولة.

وفقًا لـ ReversingLabs، تشمل مؤشرات التقارير الملموسة عقود Ethereum 0x1f117a1b07c108eae05a5bccbe86922d66227e2b المرتبطة بحزم يوليو وعقد 2024 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b، والمحفظة 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84، وأنماط الاستضافة 45.125.67.172 و 193.233.201.21 مع المنفذين 1337 أو 3001، وأسماء الحمولات على المنصات المذكورة أعلاه.

تشمل التجزئات للمرحلة الثانية من 2025 021d0eef8f457eb2a9f9fb2260dd2e391f009a21، أما لموجة 2024، فتسرد Checkmarx قيم SHA-256 لأنظمة Windows و Linux و macOS. كما نشرت ReversingLabs قيم SHA-1 لكل إصدار npm خبيث، مما يساعد الفرق على فحص مخازن القطع الأثرية للكشف عن التعرض السابق.

الحماية من الهجوم

للدفاع، فإن السيطرة الفورية هي منع تنفيذ نصوص دورة الحياة أثناء التثبيت وCI. توثق npm العلم --ignore-scripts لأوامر npm ci و npm install، ويمكن للفرق تعيينه عالميًا في .npmrc، ثم السماح بشكل انتقائي بالبنى الضرورية في خطوة منفصلة.

تنصح صفحة أفضل ممارسات الأمان لـ Node.js بنفس النهج، إلى جانب تثبيت الإصدارات عبر lockfiles ومراجعة أكثر صرامة للصيانين والبيانات الوصفية.

يعد حظر حركة المرور الصادرة إلى مؤشرات التقارير أعلاه والتنبيه على سجلات البنى التي تهيئ ethers.js لاستعلام getString(address) من وسائل الكشف العملية التي تتماشى مع تصميم C2 القائم على السلسلة.

الحزم اختفت، لكن النمط لا يزال قائمًا، وأصبح التوجيه غير المباشر على السلسلة الآن إلى جانب أخطاء الكتابة والمستودعات المزيفة كطريقة قابلة للتكرار للوصول إلى أجهزة المطورين.

ظهر المنشور Ethereum smart contracts quietly push javascript malware targeting developers أولاً على CryptoSlate.