تحليل حادثة سرقة المفتاح الخاص لمستخدمي Solana بواسطة حزم NPM الخبيثة
في أوائل يوليو 2025، تم الكشف عن حادثة اعتداء خبيثة ضد مستخدمي Solana. قام المهاجمون بتزييف مشاريع مفتوحة المصدر شرعية، مما أدى إلى تحفيز المستخدمين على تنزيل وتشغيل مشروع Node.js يحتوي على شفرة خبيثة، مما أدى إلى سرقة المفتاح الخاص لمحفظة المستخدم والأصول المشفرة.
تفاصيل الحدث
في 2 يوليو، طلب أحد الضحايا المساعدة من فريق الأمان، مشيراً إلى أنه بعد استخدام مشروع مفتوح المصدر على GitHub "solana-pumpfun-bot"، تم سرقة أصوله المشفرة. بدأ فريق الأمان على الفور التحقيق.
أظهرت التحقيقات أن هناك شذوذ في مشروع GitHub هذا:
تم تركيز وقت تقديم الشيفرة قبل ثلاثة أسابيع، مما يفتقر إلى التحديث المستمر
يعتمد المشروع على حزمة طرف ثالث مشبوهة "crypto-layout-utils"
تم إزالة حزمة الاعتماد هذه من قبل NPM الرسمي، ولا توجد النسخة المحددة في سجل NPM التاريخي
أظهرت التحليلات الإضافية أن المهاجم قام باستبدال رابط تنزيل "crypto-layout-utils" في package-lock.json بعنوان مستودع GitHub الذي يتحكم فيه.
تحليل التعليمات البرمجية الخبيثة
قم فريق الأمان بتنزيل وتحليل حزمة اعتماد مشبوهة، واكتشفوا أنها تحتوي على رمز خبيث مشوش بشكل كبير. يقوم هذا الرمز بتنفيذ الوظائف التالية:
مسح ملفات كمبيوتر المستخدم، بحثًا عن محتوى متعلق بالمحفظة أو المفتاح الخاص
تحميل المعلومات الحساسة المكتشفة إلى الخادم الذي يسيطر عليه المهاجم
أساليب الهجوم
التحكم في حسابات GitHub متعددة، Fork وتوزيع المشاريع الخبيثة
زيادة عدد Fork و Star للمشروعات عالية التصنيف، مما يعزز المصداقية
استبدال رابط تحميل حزمة NPM، لتجاوز المراجعة الرسمية
استخدام الشيفرات المبهمة لزيادة صعوبة التحليل
تدفق الأموال
استخدام أدوات تحليل السلسلة لتتبع اكتشف أن جزءًا من الأموال المسروقة تم تحويله إلى منصة تداول عملات مشفرة معينة.
نصائح الأمان
كن حذراً من مشاريع GitHub ذات المصدر غير المعروف، خاصة تلك التي تتعلق بعمليات المحفظة.
تشغيل وتصحيح التعليمات البرمجية من طرف ثالث في بيئة مستقلة وخالية من البيانات الحساسة
فحص أمان النظام بشكل دوري، وتحديث البرمجيات وتدابير الحماية في الوقت المناسب
تؤكد هذه الحادثة مرة أخرى على أهمية البقاء يقظًا عند التعامل مع الأصول المشفرة. المهاجمون مستمرون في ابتكار أساليب جديدة، ويجب على المستخدمين والمطورين تعزيز الوعي الأمني واتخاذ التدابير الوقائية اللازمة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 9
أعجبني
9
4
مشاركة
تعليق
0/400
HodlKumamon
· منذ 1 س
آه آه، مشروع node الذي لا يقوم بتدقيق الكود يبدو كأنك تسبح عارياً، إنه خطر جداً!
شاهد النسخة الأصليةرد0
SerumSurfer
· منذ 1 س
ها؟ لا يمكن الوثوق في حزمة npm بسهولة أيضًا.
شاهد النسخة الأصليةرد0
MiningDisasterSurvivor
· منذ 1 س
هذه الفخاخ ليست أفضل من نظام تمويل EOS لعام 2018، الحمقى يتوالون على بعضهم البعض.
تحليل وتدابير وقاية من هجوم جديد على حزمة NPM لمستخدمي Solana وسرقة المفتاح الخاص
تحليل حادثة سرقة المفتاح الخاص لمستخدمي Solana بواسطة حزم NPM الخبيثة
في أوائل يوليو 2025، تم الكشف عن حادثة اعتداء خبيثة ضد مستخدمي Solana. قام المهاجمون بتزييف مشاريع مفتوحة المصدر شرعية، مما أدى إلى تحفيز المستخدمين على تنزيل وتشغيل مشروع Node.js يحتوي على شفرة خبيثة، مما أدى إلى سرقة المفتاح الخاص لمحفظة المستخدم والأصول المشفرة.
تفاصيل الحدث
في 2 يوليو، طلب أحد الضحايا المساعدة من فريق الأمان، مشيراً إلى أنه بعد استخدام مشروع مفتوح المصدر على GitHub "solana-pumpfun-bot"، تم سرقة أصوله المشفرة. بدأ فريق الأمان على الفور التحقيق.
أظهرت التحقيقات أن هناك شذوذ في مشروع GitHub هذا:
أظهرت التحليلات الإضافية أن المهاجم قام باستبدال رابط تنزيل "crypto-layout-utils" في package-lock.json بعنوان مستودع GitHub الذي يتحكم فيه.
تحليل التعليمات البرمجية الخبيثة
قم فريق الأمان بتنزيل وتحليل حزمة اعتماد مشبوهة، واكتشفوا أنها تحتوي على رمز خبيث مشوش بشكل كبير. يقوم هذا الرمز بتنفيذ الوظائف التالية:
أساليب الهجوم
تدفق الأموال
استخدام أدوات تحليل السلسلة لتتبع اكتشف أن جزءًا من الأموال المسروقة تم تحويله إلى منصة تداول عملات مشفرة معينة.
نصائح الأمان
تؤكد هذه الحادثة مرة أخرى على أهمية البقاء يقظًا عند التعامل مع الأصول المشفرة. المهاجمون مستمرون في ابتكار أساليب جديدة، ويجب على المستخدمين والمطورين تعزيز الوعي الأمني واتخاذ التدابير الوقائية اللازمة.