حملة برمجيات خبيثة متطورة تستهدف محافظ العملات الرقمية

تشهد بيئة العملات الرقمية تصاعدًا ملحوظًا في هجمات إلكترونية متطورة. تهدف هذه الهجمات إلى استهداف المستخدمين من خلال إدخال شيفرات خبيثة داخل مشاريع برمجية مشروعة تعتمد على مكتبات Node Package Manager (NPM). وتُعد هذه الهجمات نموذجًا متقدمًا من هجمات سلسلة التوريد البرمجية، حيث يعمد المهاجمون إلى التسلل إلى مراحل تطوير البرامج وزرع برمجيات خبيثة، في ظل غياب الوعي الأمني الكافي لدى المطورين والمستخدمين.

آلية الهجوم وخطوات الإصابة

يبدأ الهجوم عندما يدمج المطورون – دون قصد – حزم NPM مصابة في مشاريعهم البرمجية. من الأمثلة على ذلك، الحزمة المعروفة باسم “pdf-to-office”. ورغم أنها تبدو أداة شرعية لتحويل ملفات PDF إلى صيغ Microsoft Office، فإنها في الحقيقة تحتوي على شيفرة خبيثة تنشط فور التثبيت.

بعد تنشيط الحزمة، تبدأ بفحص جهاز المستخدم بحثًا عن محافظ العملات الرقمية، وتركز بشكل خاص على محافظ Atomic وExodus. وعند تحديد أماكن وجود الملفات الخاصة بهذه المحافظ، تتجه البرمجية إلى استهداف أرشيفات ASAR التي تستخدمها تطبيقات Electron. وهنا تبدأ عملية استخراج المحتوى، ثم يتم حقن الشيفرة الخبيثة، وإعادة تجميع الملفات من جديد بطريقة تُبقي المظهر والوظائف الأصلية سليمة، الأمر الذي يُصعّب من اكتشاف أي تلاعب.

الأساليب المستخدمة في التسلل والخداع

تعتمد هذه البرمجيات على تقنيات إخفاء متقدمة. فهي تلجأ إلى التمويه البرمجي كي تتفادى أدوات الحماية التقليدية. إضافة إلى ذلك، تُجري البرمجية اتصالًا بخوادم تحكم وسيطرة (C2)، وترسل إليها معلومات مثل مسار مجلد المستخدم وحالة التثبيت. هذه العملية تتيح للمهاجمين متابعة الأجهزة المصابة وجمع المزيد من البيانات عنها.

وتكمن الخطورة الأكبر في قدرة البرمجية على اختطاف المعاملات المالية دون أن يلحظ المستخدم ذلك. يتم تعديل الشيفرة البرمجية المسؤولة عن إدارة التحويلات المالية داخل ملفات الجافا سكريبت، مثل “vendors.64b69c3b00e2a7914733.js”، بحيث يتم استبدال عنوان المحفظة الحقيقية بعنوان يعود للمهاجم. ولزيادة مستوى الإخفاء، يُستخدم تشفير base64 لتغليف العنوان البديل.

التأثير والضحايا المحتملون

تتجاوز هذه الهجمات عملة واحدة، حيث تشمل مجموعة واسعة من العملات مثل Ethereum وSolana وXRP وUSDT المبني على Tron. الخطير في الأمر أن واجهة المحفظة لا تُظهر أي علامات تدل على الاختراق. وبالتالي، يعتقد المستخدم أن معاملته تمت بشكل طبيعي، بينما تكون الأموال قد أُرسلت فعلًا إلى جهة مجهولة. ولا يُكتشف الخلل إلا عند مراجعة المعاملة على شبكة البلوكشين.

أشار باحثو الأمن السيبراني في ReversingLabs إلى أن هذا النوع من الهجمات يُعد تصعيدًا خطيرًا في استهداف مستخدمي العملات الرقمية من خلال سلاسل التوريد البرمجية. وقد رصدوا عدة مؤشرات تدل على السلوك الخبيث، من بينها روابط URL مريبة، وأنماط شيفرة تُشبه برمجيات ضارة مكتشفة سابقًا.

الاستمرارية وطرق الوقاية

واحدة من السمات المقلقة لهذه الحملة هي قدرتها على الاستمرارية. ففي بعض الحالات، تبقى الشيفرة الخبيثة داخل ملفات المحفظة حتى بعد إزالة الحزمة المصابة، ما يجعل عملية التنظيف واستعادة الأمان أمرًا معقدًا.

ولتفادي هذه التهديدات، من الضروري أن يتحقق المطورون بدقة من مصادر الحزم البرمجية التي يعتمدون عليها. كذلك، يُوصى بالابتعاد عن استخدام مكتبات غير موثوقة، إلى جانب تنفيذ مراجعات دورية للشيفرة المصدرية. ولا تقل أهمية عن ذلك، ضرورة استخدام أدوات حماية متقدمة قادرة على كشف السلوكيات المشبوهة، قبل أن تتسبب في خسائر مالية جسيمة.

في النهاية، تؤكد هذه الحملة المتطورة مدى تعاظم خطر هجمات سلسلة التوريد في عالم العملات الرقمية. ولذلك، يجب على المطورين والمستخدمين على حد سواء رفع مستوى الحذر والالتزام بإجراءات الحماية، لضمان سلامة الأصول الرقمية في مواجهة هذا النوع من التهديدات المتقدمة.