تحليل حالة سرقة أصول مستخدمي Solana: حزمة NPM خبيثة تسرق المفتاح الخاص
في 2 يوليو 2025، طلب مستخدم المساعدة من فريق الأمان، حيث ادعى أنه بعد استخدام مشروع مفتوح المصدر على GitHub، تم سرقة أصوله المشفرة. يسمى هذا المشروع solana-pumpfun-bot، وهو مستضاف على منصة GitHub.
بدأ فريق الأمان التحقيق على الفور. أولاً، قاموا بفحص مستودع GitHub الخاص بالمشروع، واكتشفوا أن عدد النجوم والفورك مرتفع، لكن توقيت تقديم الشيفرة كان مركزًا قبل ثلاثة أسابيع، مما يدل على نقص في التحديث المستمر، وقد أثار هذا الظاهرة انتباه فريق الأمان.
أظهرت التحليلات الإضافية أن مشروع Node.js هذا يعتمد على حزمة طرف ثالث تُدعى crypto-layout-utils. ومع ذلك، تم سحب هذه الحزمة من قبل NPM الرسمية، ولم يظهر الإصدار المحدد في تاريخ NPM.
من خلال الاطلاع على ملف package-lock.json، اكتشف الفريق أن المهاجمين قاموا بتغيير رابط تحميل crypto-layout-utils إلى عنوان إصدار GitHub. بعد تنزيل وتحليل هذه الحزمة، تم اكتشاف أنها تحتوي على شفرة خبيثة مشوشة بشكل كبير.
بعد فك التشويش، أكدت فريق الأمان أن هذه حزمة NPM ضارة. ستقوم بفحص الملفات على جهاز الكمبيوتر الخاص بالمستخدم، وبمجرد اكتشاف محتوى متعلق بالمحفظة أو المفتاح الخاص، ستقوم بتحميله إلى الخادم الذي يتحكم فيه المهاجم.
أظهرت التحقيقات أيضًا أن المهاجمين قد يكونون قد سيطروا على عدة حسابات على GitHub لاستخدامها في Fork المشاريع الخبيثة وتوزيع البرامج الضارة، بينما يزيدون من عدد Forks وStars للمشاريع، مما يجذب المزيد من المستخدمين للاهتمام.
بعض مشاريع Fork استخدمت أيضًا حزمة ضارة أخرى bs58-encrypt-utils-1.0.3. تم إنشاء هذه الحزمة الضارة في 12 يونيو 2025، ويُعتقد أن المهاجمين بدأوا في توزيع حزم NPM الضارة ومشاريع Node.js منذ ذلك الحين.
من خلال أدوات تحليل السلسلة، تتبعت الفريق عنوان المهاجم الذي قام بنقل الأموال المسروقة إلى منصة تداول معينة.
في هذا الهجوم، قام المهاجمون بتزوير مشاريع مفتوحة المصدر شرعية، مما أدى إلى خداع المستخدمين لتنزيل وتشغيل الشيفرة الضارة. كما قام المهاجمون بزيادة شهرة المشروع، مما زاد من مصداقيته. يجمع هذا الهجوم بين الهندسة الاجتماعية والأساليب التقنية، مما يجعل من الصعب الدفاع بالكامل.
ينبغي على المطورين والمستخدمين أن يكونوا حذرين للغاية من مشاريع GitHub غير المعروفة، خاصة عندما يتعلق الأمر بعمليات المحفظة أو المفتاح الخاص. إذا كانت هناك حاجة للتصحيح، فمن الأفضل القيام بذلك في بيئة مستقلة وخالية من البيانات الحساسة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تم سرقة أصول مستخدمي Solana: حزمة NPM خبيثة تسرق المفتاح الخاص من خلال مشروع GitHub
تحليل حالة سرقة أصول مستخدمي Solana: حزمة NPM خبيثة تسرق المفتاح الخاص
في 2 يوليو 2025، طلب مستخدم المساعدة من فريق الأمان، حيث ادعى أنه بعد استخدام مشروع مفتوح المصدر على GitHub، تم سرقة أصوله المشفرة. يسمى هذا المشروع solana-pumpfun-bot، وهو مستضاف على منصة GitHub.
بدأ فريق الأمان التحقيق على الفور. أولاً، قاموا بفحص مستودع GitHub الخاص بالمشروع، واكتشفوا أن عدد النجوم والفورك مرتفع، لكن توقيت تقديم الشيفرة كان مركزًا قبل ثلاثة أسابيع، مما يدل على نقص في التحديث المستمر، وقد أثار هذا الظاهرة انتباه فريق الأمان.
أظهرت التحليلات الإضافية أن مشروع Node.js هذا يعتمد على حزمة طرف ثالث تُدعى crypto-layout-utils. ومع ذلك، تم سحب هذه الحزمة من قبل NPM الرسمية، ولم يظهر الإصدار المحدد في تاريخ NPM.
من خلال الاطلاع على ملف package-lock.json، اكتشف الفريق أن المهاجمين قاموا بتغيير رابط تحميل crypto-layout-utils إلى عنوان إصدار GitHub. بعد تنزيل وتحليل هذه الحزمة، تم اكتشاف أنها تحتوي على شفرة خبيثة مشوشة بشكل كبير.
بعد فك التشويش، أكدت فريق الأمان أن هذه حزمة NPM ضارة. ستقوم بفحص الملفات على جهاز الكمبيوتر الخاص بالمستخدم، وبمجرد اكتشاف محتوى متعلق بالمحفظة أو المفتاح الخاص، ستقوم بتحميله إلى الخادم الذي يتحكم فيه المهاجم.
أظهرت التحقيقات أيضًا أن المهاجمين قد يكونون قد سيطروا على عدة حسابات على GitHub لاستخدامها في Fork المشاريع الخبيثة وتوزيع البرامج الضارة، بينما يزيدون من عدد Forks وStars للمشاريع، مما يجذب المزيد من المستخدمين للاهتمام.
بعض مشاريع Fork استخدمت أيضًا حزمة ضارة أخرى bs58-encrypt-utils-1.0.3. تم إنشاء هذه الحزمة الضارة في 12 يونيو 2025، ويُعتقد أن المهاجمين بدأوا في توزيع حزم NPM الضارة ومشاريع Node.js منذ ذلك الحين.
من خلال أدوات تحليل السلسلة، تتبعت الفريق عنوان المهاجم الذي قام بنقل الأموال المسروقة إلى منصة تداول معينة.
في هذا الهجوم، قام المهاجمون بتزوير مشاريع مفتوحة المصدر شرعية، مما أدى إلى خداع المستخدمين لتنزيل وتشغيل الشيفرة الضارة. كما قام المهاجمون بزيادة شهرة المشروع، مما زاد من مصداقيته. يجمع هذا الهجوم بين الهندسة الاجتماعية والأساليب التقنية، مما يجعل من الصعب الدفاع بالكامل.
ينبغي على المطورين والمستخدمين أن يكونوا حذرين للغاية من مشاريع GitHub غير المعروفة، خاصة عندما يتعلق الأمر بعمليات المحفظة أو المفتاح الخاص. إذا كانت هناك حاجة للتصحيح، فمن الأفضل القيام بذلك في بيئة مستقلة وخالية من البيانات الحساسة.