يقوم المتسللون بتحميلtracEthereum الذكية ببرامج ضارة مخفية

كشفت أبحاث ReversingLabs عن حملة برمجيات خبيثة استخدمتtracEthereum الذكية لإخفاء عناوين URL للبرامج الضارة. وكشفت النتائج أن المتسللين استخدموا حزمتي npm colortoolv2 وmimelib2، واللتين عملتا كأدوات تنزيل.

بمجرد تثبيت حزم npm، فإنها تقوم بجلب البرامج الضارة في المرحلة الثانية من البنية التحتية للتحكم والأوامر (C2) عن طريق الاستعلام عنtracEthereum الذكية.

وصفت لوسيا فالينتيك، الباحثة في ReversingLabs، الهجوم بأنه إبداعي، مشيرةً إلى أنه لم يُشاهد من قبل. تجاوز نهج المهاجمين عمليات المسح التقليدية التي عادةً ما تُشير إلى عناوين URL مشبوهة داخل نصوص الحزم.

يخفي المهاجمون البرامج الضارة أمام أعين الجميع

trac Ethereum الذكية هذه العقود المخترقين من إخفاء برمجيات خبيثة عن الأنظار. أُخفيت الحمولات الخبيثة بملف index.js بسيط، والذي عند تنفيذه، وصل إلى البلوك تشين لاسترجاع تفاصيل خادم القيادة والتحكم (C2).

وفقًا لبحث أجرته شركة ReversingLabs ، فإن حزم التنزيل ليست قياسية على npm، كما أن استضافة blockchain شكلت مرحلة جديدة في تكتيكات التهرب.

دفع هذا الاكتشاف الباحثين إلى البحث على نطاق واسع في GitHub، حيث اكتشفوا أن حزم npm مُدمجة تحت مستودعات تُخفي نفسها كبوتات عملات مشفرة. كانت هذه البوتات مُتنكرة باسم Solana-trading-bot-v2 وHyperliquid-trading-bot-v2 وغيرها الكثير. كانت المستودعات مُتنكرة كأدوات احترافية،tracالعديد من الالتزامات والحاويات والنجوم، لكنها في الواقع مُزيفة.

وفقًا للبحث، أُنشئت الحسابات التي أجرت عمليات تأكيد أو تَشَوُّه في المستودعات في يوليو، ولم تُظهر أي نشاط برمجي. كان لدى معظم الحسابات ملف README مُضمَّن في مستودعاتها. وقد تبيّن أن عدد عمليات التأكيد قد وُجِّهَ بشكل مُصطنع عبر عملية آلية لزيادة نشاط البرمجي. على سبيل المثال، كانت معظم عمليات التأكيد المُسجَّلة مجرد تغييرات في ملفات الترخيص، وليست تحديثات جوهرية.

كان اسم المستخدم Pasttimerles، وهو اسم مستخدم يستخدمه أحد المشرفين، يُستخدم بشكل ملحوظ لمشاركة العديد من الالتزامات. أما اسم المستخدم Slunfuedrac، فهو اسم مستخدم آخر، وقد ارتبط بإدراج حزم npm الخبيثة في ملفات المشروع.

بعد اكتشافه، استمر المخترقون في تبديل التبعيات إلى حسابات مختلفة. بعد اكتشاف colortoosv2، انتقلوا إلى mimelibv2، ثم إلى mw3ha31q وcnaovalles، مما ساهم في تضخيم الالتزامات ونشر التبعيات الخبيثة، على التوالي.

ربط بحث ReversingLabs هذا النشاط بشبكة الأشباح التابعة لـ Stargazer، وهي نظام مُنسّق للحسابات يُعزز مصداقية مستودعات البرامج الضارة. استهدف الهجوم المطورين الذين يبحثون عن أدوات عملات مشفرة مفتوحة المصدر، وقد يخلطون بين إحصائيات GitHub المُضخّمة والحسابات الشرعية.

يمثل تضمين البرامج الضارة في سلسلة Ethereum blockchain مرحلة جديدة في اكتشاف التهديدات

يأتي هذا الهجوم المكتشف في أعقاب سلسلة من الهجمات التي استهدفت منظومة بلوكتشين. في مارس 2025، كشفت ResearchLabs عن حزم npm خبيثة أخرى عالجت حزم Ethers شرعية بشيفرة تُمكّن من استخدام الأغلفة العكسية. كما تم الكشف عن حزمي npm Ether-provider2 وethers-providerZ اللتين تحتويان على شيفرة خبيثة تُمكّن من استخدام الأغلفة العكسية.

كُشف أيضًا عن حالات سابقة عديدة، منها اختراق حزمة Ultralytics من PyPI في ديسمبر 2024، لنشر برمجيات خبيثة لتعدين العملات المشفرة. وشملتdentأخرى استخدام منصات موثوقة مثل Google Drive وGitHub Gist لإخفاء برمجيات خبيثة عبر خوادم C2.

وفقًا للبحث، تم تسجيل 23dentمرتبطة بسلسلة التوريد المتعلقة بالعملات المشفرة في عام 2024، تتراوح من البرامج الضارة إلى خروقات بياناتdent.

يستخدم الاكتشاف الأخير أساليب قديمة، لكنه يُقدم نهجtracEthereum كآلية جديدة. صرّح فالينتيك، الباحث في مختبرات الأبحاث، بأن الاكتشاف يُسلط الضوء على التطور السريع لاستراتيجيات التهرب من الكشف التي تتبعها جهات خبيثة تستهدف مشاريع ومطوري المصادر المفتوحة.

سلّط البحث الضوء على أهمية التحقق من شرعية مكتبات المصادر المفتوحة قبل اعتمادها. وحذّرت فالينتيك من ضرورة تقييم المطورين لكل مكتبة يفكرون في استخدامها قبل تضمينها في بيئة التطوير الخاصة بهم. وأضافت أنه من الواضح أن مؤشرات مثل النجوم، والالتزامات، وعدد المشرفين على التطوير قابلة للتلاعب بسهولة.

لقد تمت إزالة كل من dent GitHub ، ولكن النشاط ألقى الضوء على كيفية تطور نظام تهديدات البرامج.

احصل على ما يصل إلى 30,050 دولارًا أمريكيًا من مكافآت التداول عند الانضمام إلى Bybit اليوم