سرقة عملات رقمية متنكرة: حزم npm تخفي عملية متطورة لسرقة المحافظ

العنوان الفرعي: موجة جديدة من البرمجيات الخبيثة المعتمدة على npm وGitHub تستهدف المطورين بأدوات مزيفة، وتتصيد بيانات الاعتماد وتستنزف محافظ العملات الرقمية.

عندما تتحول أدوات التطوير إلى أحصنة طروادة، قد يقع حتى المبرمجون المخضرمون ضحية. هذا بالضبط ما حدث في أحدث حملة Ghost - عملية واسعة وخفية تُسخّر منصات المصادر المفتوحة الموثوقة لسرقة بيانات الاعتماد وإفراغ محافظ العملات المشفرة. المهاجمون، المتخفون خلف حزم npm ومستودعات GitHub تبدو مفيدة، صاغوا خدعة ثقة رقمية تُوقع مطورين حول العالم.

حقائق سريعة

استُخدمت سبع حزم npm، بما في ذلك “react-performance-suite” و“ai-fast-auto-trader”، لسرقة بيانات حساسة ومحافظ عملات رقمية.
تتنكر البرمجية الخبيثة كأدوات تطوير شرعية، وتطلب من المستخدم كلمة مرور sudo أثناء التثبيت.
تُسلَّم الحمولة عبر قنوات Telegram ومستودعات GitHub، مع الاستفادة من سجلات تثبيت مزيفة وتدفقات عمل مدعومة بالذكاء الاصطناعي.
تُمرَّر بيانات الاعتماد ومعلومات المحافظ المسروقة عبر روبوتات Telegram وتُخزَّن في عقود ذكية على Binance Smart Chain.
تستغل الحملة الثقة في منظومات المصادر المفتوحة، مستهدفةً مستخدمي macOS وLinux على وجه الخصوص.

كيف تُطارد حملة Ghost المطورين

كان باحثو ReversingLabs أول من أطلق صافرة الإنذار بشأن ما يُعرف بحملة Ghost، متتبعين مجموعة من حزم npm رفعها مستخدم يُدعى “mikilanjillo”. هذه الحزم، بأسماء تُحاكي أدوات تطوير شائعة ومرافق للعملات المشفرة، تُغري الضحايا إلى فخ مُحكم الإعداد. وما إن تُثبَّت، حتى تُحاكي الحزم عملية تثبيت اعتيادية - مع سجلات مزيفة وتأخيرات متعمدة - قبل أن تُفاجئ المستخدم بـ“خطأ تثبيت” يطلب كلمة مرور الجذر أو المسؤول.

ومن دون أن يدري الضحية، فإن إدخال كلمة المرور يطلق هجومًا متعدد المراحل. يجلب السكربت الخبيث أداة تنزيل تتواصل مع قناة على Telegram، لاسترجاع عنوان URL ومفتاح فك التشفير للحمولة النهائية. والجائزة الكبرى للمهاجمين: حصان طروادة للوصول عن بُعد قادر على جمع كل شيء بدءًا من بيانات اعتماد المتصفح ومفاتيح SSH وصولًا إلى محافظ العملات المشفرة كاملة. بل إن البرمجية الخبيثة تنظف آثارها أيضًا، فتمحو البصمات من سجل الطرفية لدى الضحية.

ولا تتوقف الحملة عند npm. فهجمات موازية تستخدم مستودعات GitHub تُحاكي روبوتات تداول أو حزم SDK شرعية. يزرع المهاجمون هذه المستودعات بشيفرة تبدو سليمة، ويبنون الثقة تدريجيًا (وأحيانًا مئات النجوم) قبل إدخال سكربتات خبيثة. بعض المتغيرات تستهدف تدفقات عمل الذكاء الاصطناعي، مستخدمة ملفات مثل “SKILL.md” لإغراء المستخدمين بتشغيل سكربتات شِل مصابة.

درجة التعقيد مُرعبة. يستخدم المهاجمون متغيرات البيئة لتخصيص عملية العدوى، بل ويخزنون بيانات الاعتماد المسروقة في عقود ذكية على البلوك تشين، ما يتيح تحديثات سلسة دون تعديل البرمجية الخبيثة نفسها. ووفقًا لمحللي الأمن، يتضمن نموذج الإيرادات المزدوج لعملية Ghost كلاً من سرقة بيانات الاعتماد (لربح فوري) وإعادة توجيه الشركاء لتحقيق مكاسب ثانوية.

هذه الحملة تذكير صارخ بأن الثقة في المصادر المفتوحة يمكن تسليحها. فمن خلال الاندماج في نسيج تدفقات عمل المطورين واستغلال ممارسات التثبيت القياسية، تمكنت حملة Ghost من تجاوز كثير من الدفاعات - مُثبتةً أن حتى أكثر عمليات تثبيت الشيفرة روتينية قد تكون بوابة لاختراق مُدمّر.

نظرة إلى الأمام: ثق ولكن تحقّق

مع ازدياد ابتكار المهاجمين، واستغلالهم ليس فقط مستودعات الشيفرة بل أيضًا أدوات التطوير المدفوعة بالذكاء الاصطناعي، يستمر الخط الفاصل بين البرمجيات الشرعية والخبيثة في التلاشي. على المطورين - والمنظمات التي تعتمد عليهم - تبني نظرة أكثر تشككًا، وتمحيص كل حزمة وكل سكربت، مهما بدا موثوقًا. في عصر حملة Ghost، قد يكون التثبيت التالي هو الذي يطارد حياتك الرقمية.

WIKICROOK

حزمة npm: حزمة NPM هي حزمة قابلة لإعادة الاستخدام من شيفرة JavaScript تُشارك عبر Node Package Manager، ما يتيح مشاركة الشيفرة بسهولة وتعزيز المشاريع.
كلمة مرور sudo: تُحتاج كلمة مرور sudo لتنفيذ إجراءات إدارية على أنظمة شبيهة بيونكس، لتأكيد هوية المستخدم قبل السماح بالأوامر ذات الامتيازات.
حصان طروادة للوصول عن بُعد (RAT): حصان طروادة للوصول عن بُعد (RAT) هو برمجية خبيثة تُمكّن المهاجمين من التحكم سرًا في حاسوب الضحية من أي مكان، بما يتيح السرقة والتجسس.
أمر: الأمر هو تعليمة تُرسل إلى جهاز أو برنامج، غالبًا بواسطة خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
عقد ذكي: العقد الذكي هو شيفرة ذاتية التنفيذ على البلوك تشين تُطبّق القواعد وتُجري المعالجة تلقائيًا، ما يلغي الحاجة إلى وسيط.