عودة بوتات خبيثة في نظام Solana: ملف التكوين يخفي فخ تسريب المفتاح الخاص
في أوائل يوليو 2025، طلب مستخدم المساعدة من فريق الأمان، طالبًا تحليل سبب سرقة أصوله المشفرة. كشفت التحقيقات أن الحادث ناتج عن استخدام هذا المستخدم لمشروع مفتوح المصدر مستضاف على GitHub، مما أدى إلى تفعيل سلوك خفي لسرقة العملات.
في الآونة الأخيرة، تعرض بعض المستخدمين لسرقة أصولهم بسبب استخدام مشاريع مفتوحة المصدر مشابهة، وتواصلوا مع فريق الأمان. وفي هذا الصدد، قام الفريق بتحليل أعمق لهذه الأساليب الهجومية.
عملية التحليل
التحليل الثابت
من خلال التحليل الساكن، تم اكتشاف أن الشيفرة المشبوهة تقع في ملف التكوين /src/common/config.rs، وتركز بشكل أساسي داخل طريقة create_coingecko_proxy(). تستدعي هذه الطريقة أولاً import_wallet()، ومن ثم تستدعي import_env_var() للحصول على المفتاح الخاص.
import_env_var() الطريقة تُستخدم للحصول على معلومات تكوين متغيرات البيئة من ملف .env. إذا لم يكن متغير البيئة موجودًا، فستدخل إلى فرع معالجة الأخطاء وتستمر في استهلاك الموارد.
تُخزَّن المعلومات الحساسة مثل المفتاح الخاص في ملف .env. بعد استخدام طريقة import_wallet() للحصول على المفتاح الخاص، سيتم التحقق من طوله:
إذا كان أقل من 85، طباعة رسالة خطأ واستمرار استهلاك الموارد
إذا كان أكبر من 85، قم بتحويل سلسلة Base58 إلى كائن Keypair يحتوي على المفتاح الخاص
ثم يتم تغليف التعليمات البرمجية الخبيثة لمعلومات المفتاح الخاص لدعم المشاركة متعددة الخيوط.
create_coingecko_proxy() الطريقة بعد الحصول على المفتاح الخاص، لفك تشفير عنوان URL الخبيث. العنوان الحقيقي بعد فك التشفير هو:
البرمجيات الخبيثة تقوم بتحويل المفتاح الخاص إلى سلسلة Base58، ثم تقوم بإنشاء جسم طلب JSON، وترسلها عبر طلب POST إلى عنوان URL المذكور أعلاه، مع تجاهل نتائج الاستجابة.
بالإضافة إلى ذلك، تتضمن هذه الطريقة الحصول على الأسعار وغيرها من الوظائف العادية، بهدف إخفاء السلوكيات الضارة. وقد تم تمويه اسم الطريقة، مما يجعلها خادعة.
تُستخدم طريقة create_coingecko_proxy() عند بدء تشغيل التطبيق، وتقع في مرحلة تهيئة ملف التكوين لطريقة main() في main.rs.
وفقًا للتحليل، يقع عنوان IP الخاص بالخادم في الولايات المتحدة.
تم تحديث المشروع على GitHub في 17 يوليو 2025، حيث تركزت التغييرات الرئيسية في ملف التكوين config.rs الموجود في دليل src. تم استبدال ترميز عنوان خادم المهاجم بالترميز الجديد.
التحليل الديناميكي
لرؤية عملية السرقة بشكل مباشر، قم بكتابة سكربت Python لإنشاء زوج من المفاتيح العامة والخاصة لاختبار Solana، وقم بإنشاء خادم HTTP على الخادم لاستقبال طلبات POST.
استبدال ترميز عنوان خادم الاختبار الذي تم إنشاؤه بترميز عنوان الخادم الضار الذي حدده المهاجم، واستبدال المفتاح الخاص في ملف .env بالمفتاح الخاص للاختبار.
بعد تشغيل الشيفرة الخبيثة، نجح خادم الاختبار في استلام بيانات JSON المرسلة من المشروع الخبيث، والتي تحتوي على المفتاح الخاص.
في هذا الهجوم، قام المهاجمون بالتنكر كمشاريع مفتوحة المصدر شرعية، مما أدى إلى خداع المستخدمين لتحميل وتنفيذ الشيفرة الخبيثة. يقوم هذا المشروع بقراءة المعلومات الحساسة من ملف .env المحلي، وينقل المفاتيح الخاصة المسروقة إلى الخادم الذي يتحكم فيه المهاجم. عادةً ما يجمع هذا النوع من الهجمات بين تقنيات الهندسة الاجتماعية، حيث يمكن أن يقع المستخدم في الفخ إذا كان غير حذر.
يُنصح المطورون بمراقبة عالية لمشاريع GitHub غير المعروفة ، خاصةً عندما يتعلق الأمر بمحافظ أو المفتاح الخاص. إذا كنت بحاجة إلى التشغيل أو التصحيح ، يُنصح بذلك في بيئة مستقلة وخالية من البيانات الحساسة ، لتجنب تنفيذ البرامج والأوامر الضارة غير المعروفة المصدر.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 11
أعجبني
11
5
مشاركة
تعليق
0/400
HallucinationGrower
· منذ 23 س
حدث شيء آخر، لذلك لم أستخدم sol أبداً.
شاهد النسخة الأصليةرد0
GasWaster
· منذ 23 س
هل تهاجم سول الخاصة بي مرة أخرى؟
شاهد النسخة الأصليةرد0
GasFeeNightmare
· منذ 23 س
لا يزال يريد خداع الناس لتحقيق الربح، لقد خدعتم الجميع بالفعل.
مشروع GitHub يختبئ في فخ سرقة المفاتيح الخاصة مرة أخرى في نظام Solana البيئي
عودة بوتات خبيثة في نظام Solana: ملف التكوين يخفي فخ تسريب المفتاح الخاص
في أوائل يوليو 2025، طلب مستخدم المساعدة من فريق الأمان، طالبًا تحليل سبب سرقة أصوله المشفرة. كشفت التحقيقات أن الحادث ناتج عن استخدام هذا المستخدم لمشروع مفتوح المصدر مستضاف على GitHub، مما أدى إلى تفعيل سلوك خفي لسرقة العملات.
في الآونة الأخيرة، تعرض بعض المستخدمين لسرقة أصولهم بسبب استخدام مشاريع مفتوحة المصدر مشابهة، وتواصلوا مع فريق الأمان. وفي هذا الصدد، قام الفريق بتحليل أعمق لهذه الأساليب الهجومية.
عملية التحليل
التحليل الثابت
من خلال التحليل الساكن، تم اكتشاف أن الشيفرة المشبوهة تقع في ملف التكوين /src/common/config.rs، وتركز بشكل أساسي داخل طريقة create_coingecko_proxy(). تستدعي هذه الطريقة أولاً import_wallet()، ومن ثم تستدعي import_env_var() للحصول على المفتاح الخاص.
import_env_var() الطريقة تُستخدم للحصول على معلومات تكوين متغيرات البيئة من ملف .env. إذا لم يكن متغير البيئة موجودًا، فستدخل إلى فرع معالجة الأخطاء وتستمر في استهلاك الموارد.
تُخزَّن المعلومات الحساسة مثل المفتاح الخاص في ملف .env. بعد استخدام طريقة import_wallet() للحصول على المفتاح الخاص، سيتم التحقق من طوله:
ثم يتم تغليف التعليمات البرمجية الخبيثة لمعلومات المفتاح الخاص لدعم المشاركة متعددة الخيوط.
create_coingecko_proxy() الطريقة بعد الحصول على المفتاح الخاص، لفك تشفير عنوان URL الخبيث. العنوان الحقيقي بعد فك التشفير هو:
البرمجيات الخبيثة تقوم بتحويل المفتاح الخاص إلى سلسلة Base58، ثم تقوم بإنشاء جسم طلب JSON، وترسلها عبر طلب POST إلى عنوان URL المذكور أعلاه، مع تجاهل نتائج الاستجابة.
بالإضافة إلى ذلك، تتضمن هذه الطريقة الحصول على الأسعار وغيرها من الوظائف العادية، بهدف إخفاء السلوكيات الضارة. وقد تم تمويه اسم الطريقة، مما يجعلها خادعة.
تُستخدم طريقة create_coingecko_proxy() عند بدء تشغيل التطبيق، وتقع في مرحلة تهيئة ملف التكوين لطريقة main() في main.rs.
وفقًا للتحليل، يقع عنوان IP الخاص بالخادم في الولايات المتحدة.
تم تحديث المشروع على GitHub في 17 يوليو 2025، حيث تركزت التغييرات الرئيسية في ملف التكوين config.rs الموجود في دليل src. تم استبدال ترميز عنوان خادم المهاجم بالترميز الجديد.
التحليل الديناميكي
لرؤية عملية السرقة بشكل مباشر، قم بكتابة سكربت Python لإنشاء زوج من المفاتيح العامة والخاصة لاختبار Solana، وقم بإنشاء خادم HTTP على الخادم لاستقبال طلبات POST.
استبدال ترميز عنوان خادم الاختبار الذي تم إنشاؤه بترميز عنوان الخادم الضار الذي حدده المهاجم، واستبدال المفتاح الخاص في ملف .env بالمفتاح الخاص للاختبار.
بعد تشغيل الشيفرة الخبيثة، نجح خادم الاختبار في استلام بيانات JSON المرسلة من المشروع الخبيث، والتي تحتوي على المفتاح الخاص.
! نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مخفي مصيدة نقل المفتاح الخاص
! نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مصيدة نقل المفتاح الخاص المخفية
! نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مصيدة المفاتيح الخاصة المخفية
! نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مصيدة المفاتيح الخاصة المخفية
! نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مخفي مصيدة نقل المفتاح الخاص
مؤشرات الاختراق ( IoCs )
عنوان IP:103.35.189.28
اسم المجال: storebackend-qpq3.onrender.com
مستودع ضار:
مستودعات أخرى بأساليب تنفيذ مشابهة:
ملخص
في هذا الهجوم، قام المهاجمون بالتنكر كمشاريع مفتوحة المصدر شرعية، مما أدى إلى خداع المستخدمين لتحميل وتنفيذ الشيفرة الخبيثة. يقوم هذا المشروع بقراءة المعلومات الحساسة من ملف .env المحلي، وينقل المفاتيح الخاصة المسروقة إلى الخادم الذي يتحكم فيه المهاجم. عادةً ما يجمع هذا النوع من الهجمات بين تقنيات الهندسة الاجتماعية، حيث يمكن أن يقع المستخدم في الفخ إذا كان غير حذر.
يُنصح المطورون بمراقبة عالية لمشاريع GitHub غير المعروفة ، خاصةً عندما يتعلق الأمر بمحافظ أو المفتاح الخاص. إذا كنت بحاجة إلى التشغيل أو التصحيح ، يُنصح بذلك في بيئة مستقلة وخالية من البيانات الحساسة ، لتجنب تنفيذ البرامج والأوامر الضارة غير المعروفة المصدر.