تستهدف حزم npm الخبيثة مطوري العملات المشفرة بشكل نشط، حيث تسرق مفاتيح محافظ شبكات Solana و Ethereum عبر تسريبها مباشرة إلى روبوت تيليغرام. اكتشف باحثو الأمن في شركة Socket خمس مكتبات مزيفة تعترض المفاتيح الخاصة أثناء عمليات فك التشفير القياسية، مما يؤدي إلى استنزاف محافظ المطورين قبل ظهور أي أخطاء في التطبيق. تستهدف هذه الحملة، التي نُشرت بواسطة حساب galedonovan، سلسلة التوريد الخاصة بمطوري تقنيات البلوكتشين بشكل مباشر.
يتم حقن الأكواد الخبيثة مباشرة في المواضع التي يتعامل فيها المطورون مع المفاتيح الخاصة، مما يضمن أن السلوك العام للتطبيق يبدو طبيعياً تماماً. بالنسبة للحزم التي تركز على شبكة Solana، يعترض الكود دوال فك التشفير بمعيار Base58 والتي تُستخدم عادةً لتحميل أزواج المفاتيح من السلاسل النصية السرية. أما على جانب شبكة Ethereum، يتم تنشيط الحزمة الملغمة داخل مُنشئ واجهة Wallet بمجرد تمرير المفتاح الخاص.
لتنفيذ عملية سرقة البيانات، تعتمد البرمجيات الخبيثة على واجهة fetch العالمية دون استيرادها بشكل صريح. هذا يعني أن عملية التسريب تنجح فقط في بيئة Node.js 18 والإصدارات الأحدث. في بيئات التشغيل الأقدم، يُصدر الكود خطأ من نوع ReferenceError يتم التقاطه بصمت، مما يؤدي إلى فشل عملية السرقة دون تنبيه المطور.
شبكة القيادة والسيطرة عبر تيليغرام
يتم توجيه جميع المفاتيح المسروقة بصيغة نصية واضحة إلى نقطة اتصال واحدة لواجهة برمجة تطبيقات روبوت تيليغرام، باستخدام رمز مميز ومعرف دردشة مدمجين في الكود. يقوم الروبوت، الذي يعمل تحت اسم @Test20131_Bot، بنشر بيانات الاعتماد المخترقة في مجموعة تيليغرام خاصة وصغيرة تحمل اسم My_Bot_Test. يستخدم منشئ هذه المجموعة حساب @crypto_sol3، مما يوفر رابطاً مباشراً لتحديد هوية المهاجم.
نظراً لعدم وجود خادم مرحلي ثانوي، تظل قناة التسريب بأكملها قيد التشغيل فقط طالما أن روبوت تيليغرام نشط. قدمت شركة Socket طلبات إزالة لحساب npm المرتبط، ولكن في وقت التحليل الأولي، ظلت أربع من الحزم متاحة في السجل العام.
تفاصيل الحزم المخترقة
تتكون الحملة من خمس حزم مختلفة، تستخدم كل منها تكتيكات متنوعة لإخفاء حمولتها الخبيثة وتنفيذ عملية السرقة:
- حزمة raydium-bs58: تعيد تصدير مكتبة bs58 الشرعية مع غلاف يرسل المفتاح المدخل إلى تطبيق تيليغرام أولاً. ترك المطور عن طريق الخطأ تعليقاً في الكود المنشور يحتوي على الرمز المميز للروبوت ورابط الدعوة للمجموعة بالكامل.
- حزمة base-x-64: تدمج حمولة مبهمة باستخدام تشفير تدوير المصفوفة وحلقة اختبار المجموع لإخفاء رابط تيليغرام والرمز المميز للروبوت قبل تنفيذ طلب POST.
- حزمة bs58-basic: لا تحتوي على كود خبيث مباشر ولكنها تعتمد كلياً على حزمة base-x-64، مما يؤدي إلى تشغيل عملية التسريب بشكل غير مباشر.
- حزمة ethersproject-wallet: تستنسخ الإصدار الحقيقي من حزمة @ethersproject/wallet حرفياً ولكنها تحقن سطراً خبيثاً واحداً في مخرجات CJS المجمعة. يترك معالج الأخطاء الخاص بها سجلاً مرئياً في وحدة التحكم يقرأ "Error sending message to Telegram:".
- حزمة base_xd: نُشرت وأُزيلت في غضون خمس دقائق، واستخدمت هذه الحزمة نفس نمط التعتيم الموجود في حزمة base-x-64 لتكون بمثابة القالب الأصلي للحملة.
ربط محللو الأمن جميع الحزم الخمس بسير عمل مطور واحد بسبب الأخطاء المطبعية المشتركة عبر ملفات التكوين. شملت هذه الأخطاء كتابة كلمة "crytography" بشكل خاطئ، وتضمين أمر طرفي معيب:
git diff --exidt-codeرأيي التقني
يسلط الاعتماد على تطبيق تيليغرام كبنية تحتية للقيادة والسيطرة (C2) الضوء على اتجاه متزايد بين المهاجمين من المستوى المنخفض إلى المتوسط الذين يعطون الأولوية للنشر الفوري على حساب الأمن التشغيلي. في حين يوفر تطبيق تيليغرام قناة تسريب مجانية ومشفرة وموثوقة للغاية، فإن دمج الرموز المميزة للروبوتات مباشرة في حزم npm يعد ثغرة جنائية هائلة. حقيقة أن مطور حزمة raydium-bs58 ترك رابط دعوة المجموعة عن طريق الخطأ في تعليقات الكود تظهر تنفيذاً متسرعاً، ومع ذلك نجح الهجوم في تجاوز المرشحات الأولية للسجل.
ما يجعل هذه الحملة خطيرة بشكل خاص هو فهمها الدقيق لبيئات لغة JavaScript الحديثة. من خلال حقن الحمولة الخبيثة حصرياً في مخرجات CJS المجمعة لحزمة ethersproject-wallet مع ترك بنية ESM نظيفة، أنشأ المهاجم أثراً جنائياً يسهل تفويته أثناء المراجعات العادية للأكواد. علاوة على ذلك، فإن الاعتماد على واجهة fetch الأصلية لاستهداف بيئات Node.js 18+ يوضح خياراً متعمداً لتقليل التبعيات المستوردة، والتي غالباً ما تؤدي إلى إطلاق تنبيهات أمنية آلية.
بالنسبة لمطوري العملات المشفرة، يعزز هذا الحادث الحاجة الماسة لمراجعة التبعيات غير المباشرة وتجنب الثقة العمياء في الحزم المغلفة الرقيقة التي تعيد تصدير الأساسيات التشفيرية. يجب على أي مطور قام بتثبيت هذه الحزم المحددة أن يفترض أن مفاتيحه قد تم اختراقها، وأن يقوم بتدوير بيانات الاعتماد الخاصة به على الفور، والعودة إلى الحزم الرسمية الموثوقة. يجب على فرق الأمن التعامل مع أي تعتيم في الأدوات التي تتعامل مع المفاتيح كإشارة خطر فورية وعالية الخطورة.
