مستخدمو Solana يتعرضون لسرقة الأصول: حزمة NPM ضارة تسرق المفتاح الخاص

في الآونة الأخيرة، أثار حادث سرقة أصول استهدف مستخدمي Solana انتباه خبراء الأمن. وقد نشأ الحادث من مشروع مفتوح المصدر مستضاف على GitHub، يحتوي على حزمة NPM خبيثة قادرة على سرقة معلومات المفتاح الخاص للمستخدمين.

بدأت الأحداث في 2 يوليو 2025، حيث اكتشف أحد المستخدمين أن أصوله المشفرة قد سُرقت بعد استخدامه لمشروع GitHub المسمى "solana-pumpfun-bot". بدأت فرق الأمان على الفور التحقيق، واكتشفت أن هناك العديد من النقاط المشبوهة في هذا المشروع.

أولاً، كانت تحديثات كود المشروع مركزة قبل ثلاثة أسابيع، مما يدل على نقص في الخصائص المستمرة للصيانة. ثانياً، يعتمد المشروع على حزمة طرف ثالث تُدعى "crypto-layout-utils"، التي تم إزالتها من قبل NPM، ولم يظهر الإصدار المحدد في السجل التاريخي الرسمي لـ NPM.

أظهرت التحقيقات الإضافية أن المهاجمين استبدلوا رابط تنزيل crypto-layout-utils في ملف package-lock.json، مشيرين إلى ملف في مستودع GitHub. تم تشويش هذا الملف بشكل كبير، مما زاد من صعوبة التحليل.

بعد إزالة التشويش، أكدت فريق الأمان أن هذه حزمة NPM خبيثة. إنها قادرة على مسح الملفات على كمبيوتر المستخدم، بحثًا عن محتويات تتعلق بالمحافظ أو المفتاح الخاص، وتحميل المعلومات الحساسة التي تم اكتشافها إلى خادم يتحكم فيه المهاجم.

يبدو أن المهاجمين يتحكمون في عدة حسابات على GitHub لاستخدامها في توزيع البرامج الضارة وزيادة عدد النجوم والفورك للمشاريع، من أجل جذب المزيد من المستخدمين. بالإضافة إلى crypto-layout-utils، تم استخدام حزمة خبيثة أخرى تسمى bs58-encrypt-utils في هجمات مماثلة.

من خلال أدوات تحليل السلسلة، تمكن فريق الأمان من تتبع جزء من الأموال المسروقة التي توجهت إلى منصة تداول معينة.

كشفت هذه الحادثة الهجومية عن المخاطر الأمنية الكامنة في المشاريع مفتوحة المصدر. قام المهاجمون بتنكر في مشاريع شرعية، مما أدى إلى إغراء المستخدمين بتحميل وتشغيل برامج تحتوي على كود خبيث. زادت العمليات المنسقة لعدة حسابات على GitHub من مصداقية الهجوم ومدى انتشاره.

لمنع هجمات مشابهة، يُنصح المطورون والمستخدمون بالبقاء في حالة تأهب عالية تجاه مشاريع GitHub غير المعروفة، خاصة تلك التي تتعلق بمحافظ أو المفتاح الخاص. إذا كنت بحاجة إلى تصحيح الأخطاء، فمن الأفضل القيام بذلك في بيئة مستقلة وخالية من البيانات الحساسة.

تتعلق هذه الحادثة بعدة مستودعات GitHub ضارة وحزم NPM. قامت فرق الأمان بتجميع المعلومات ذات الصلة، بما في ذلك روابط مشاريع GitHub المشبوهة المتعددة، أسماء حزم NPM الضارة وروابط تنزيلها، فضلاً عن عنوان خادم تحميل البيانات الذي يستخدمه المهاجمون. هذه المعلومات مهمة جداً للتعرف على مثل هذه الهجمات والوقاية منها.