داخل عملية سرقة الشيفرة: كيف أدت هجمة على سلسلة التوريد إلى إفراغ آلاف محافظ العملات الرقمية

في عالم رقمي تُحرس فيه الثروات بأسطر من الشيفرة، يمكن لزلة واحدة أن تفتح الخزنة أمام مجرمي الإنترنت. هذا بالضبط ما حدث في ديسمبر الماضي، عندما استيقظ أكثر من 2500 مستخدم لمحفظة Trust Wallet ليجدوا محافظهم الرقمية قد أُفرغت - ضحايا لهجوم ذكي واسع النطاق بدأ قبل أشهر في زوايا مظلمة من منظومة برمجيات npm.

بدأ الاختراق بتسريب هادئ لأسرار المطورين: استغل المهاجمون حملة Shai-Hulud الشهيرة وتجاوزوا دفاعات Trust Wallet، وهي خدمة يعتمد عليها أكثر من 200 مليون من عشاق العملات الرقمية حول العالم. ظهرت حملة Shai-Hulud لأول مرة في سبتمبر، وكانت هجمة على سلسلة التوريد أصابت أكثر من 800 حزمة npm بشيفرة تهدف إلى جمع بيانات حساسة - أسرار المطورين، مفاتيح API، وأكثر - من آلاف المشاريع غير المدركة للخطر.

تم اصطياد أسرار GitHub ومفاتيح API الخاصة بمتجر Chrome Web Store التابعة لـ Trust Wallet في هذه الشبكة الرقمية. بهذه المفاتيح، لم يقتحم المهاجمون النظام فحسب - بل دخلوا من الباب الأمامي. قاموا ببناء نسخة مزروعة ببرمجيات خبيثة من إضافة Trust Wallet لمتصفح Chrome، وزرعوا فيها شيفرة JavaScript خبيثة تقوم بسحب بيانات المحافظ بصمت وتُمكن من تنفيذ معاملات عملات رقمية غير مصرح بها. تم رفع هذه الإضافة المسمومة مباشرة إلى متجر Chrome Web Store، متجاوزة المراجعات الداخلية ووصلت إلى متصفحات المستخدمين كتحديث رسمي.

كانت العملية فعالة بشكل مخيف. قام المهاجمون بتسجيل نطاقات مقنعة لخدمة البرمجيات الخبيثة، ما ضمن أن الإضافة المعدلة يمكنها التواصل مع خوادمهم. وعندما قام المستخدمون بتسجيل الدخول، تم تحويل أسرار محافظهم مباشرة إلى المجرمين، الذين أفرغوا الحسابات بسرعة قبل اكتشاف الاختراق.

كان رد Trust Wallet سريعاً لكنه مؤلم: تم إلغاء جميع واجهات برمجة التطبيقات للإصدار، والإبلاغ عن النطاقات الخبيثة، وإطلاق برنامج تعويض للضحايا. لكن التداعيات لم تتوقف عند هذا الحد. فقد بدأ محتالون انتهازيون، مستغلين حالة الذعر، بانتحال شخصية دعم Trust Wallet وتوزيع نماذج تعويض مزيفة ومحاولات تصيد لمزيد من البيانات عبر إعلانات Telegram.

يحذر الباحثون الأمنيون من أن حملة Shai-Hulud ليست سوى البداية. مع تسريب أكثر من 400,000 سر وبقاء عشرات الآلاف من حزم npm الخبيثة نشطة، تظل سلسلة التوريد البرمجية الأوسع تحت الحصار. ومع تطور أساليب سرقة بيانات الاعتماد، يواجه نظام العملات الرقمية بأكمله اختباراً حقيقياً لهشاشة أسسه الرقمية.

حادثة Trust Wallet تذكرنا بوضوح: في عالم التمويل اللامركزي، لا يُبنى الثقة على الشيفرة فقط، بل على اليقظة في كل خطوة من سلسلة التوريد البرمجية. ومع انقشاع الغبار، يجب على الصناعة مواجهة أسئلة صعبة حول كيفية إدارة الأسرار وما الذي يتطلبه الأمر للبقاء متقدمين بخطوة على عملية السرقة الرقمية التالية.

ويكي كروك

• هجمة سلسلة التوريد: هجمة سلسلة التوريد هي هجوم إلكتروني يستهدف مزودي البرمجيات أو الأجهزة الموثوقين، وينشر البرمجيات الخبيثة أو الثغرات إلى العديد من المؤسسات دفعة واحدة.
• مفتاح API: مفتاح API هو رمز فريد يسمح للبرامج بالوصول إلى البيانات أو الخدمات. إذا لم يتم تأمينه بشكل صحيح، يمكن أن يشكل خطراً على الأمن السيبراني.
• npm: npm هو مكتبة إلكترونية مركزية يشارك فيها المطورون ويحدثون ويديرون حزم شيفرة JavaScript لبناء البرمجيات بكفاءة وأمان.
• جمع بيانات الاعتماد: جمع بيانات الاعتماد هو سرقة تفاصيل تسجيل الدخول مثل أسماء المستخدمين وكلمات المرور، غالباً عبر مواقع وهمية أو رسائل بريد إلكتروني خادعة.
• إضافة مزروعة ببرمجيات خبيثة: الإضافة المزروعة ببرمجيات خبيثة هي إضافة متصفح شرعية تم تعديلها سراً لتتضمن شيفرة خبيثة، وغالباً ما تُستخدم لسرقة البيانات أو اختراق أمان المستخدم.