شارك باحثو الأمن السيبراني تفاصيل حملة برامج ضارة تستهدف Ethereum وXRP وSolana.
يستهدف الهجوم بشكل أساسي مستخدمي محفظتي Atomic وExodus من خلال حزم مدير الحزم (NPM) المخترقة.
ثم يقوم بإعادة توجيه المعاملات إلى عناوين يسيطر عليها المهاجم دون علم مالك المحفظة.
يبدأ الهجوم عندما يُثبّت المطورون، دون علمهم، حزم npm مُصابة بأحصنة طروادة في مشاريعهم. حدّد الباحثون حزمة "pdf-to-office" كحزمة مُخترقة تبدو شرعية، لكنها تحتوي على برمجيات خبيثة مخفية.
بمجرد التثبيت، تقوم الحزمة بفحص النظام بحثًا عن محافظ العملات المشفرة المثبتة وتحقن تعليمات برمجية ضارة تعترض المعاملات.
"تصعيد في الاستهداف"
وأشار الباحثون في تقريرهم إلى أن "هذه الحملة الأخيرة تمثل تصعيدًا في الاستهداف المستمر لمستخدمي العملات المشفرة من خلال هجمات سلسلة توريد البرامج".
يمكن للبرامج الضارة إعادة توجيه المعاملات عبر العديد من العملات المشفرة، بما في ذلك Ethereum ( ETH )، وUSDT المستندة إلى Tron، وXRP ( XRP )، وSolana ( SOL ).
حددت شركة ReversingLabs هذه الحملة من خلال تحليلها لحزم npm المشبوهة، واكتشفت مؤشرات متعددة على السلوك الخبيث، بما في ذلك اتصالات URL مشبوهة وأنماط برمجية مطابقة للتهديدات التي تم تحديدها سابقًا. يكشف فحصها الفني عن هجوم متعدد المراحل يستخدم تقنيات تعتيم متقدمة لتجنب الكشف.
تبدأ عملية العدوى عندما تُنفّذ الحزمة الخبيثة حمولتها المستهدفة لبرنامج المحفظة المُثبّت على النظام. يبحث الكود تحديدًا عن ملفات التطبيقات في مسارات مُحدّدة.
بمجرد تحديد موقعه، يستخرج البرنامج الخبيث أرشيف التطبيق. تُنفَّذ هذه العملية من خلال شيفرة تُنشئ مجلدات مؤقتة، وتستخرج ملفات التطبيق، وتحقن الشيفرة الخبيثة، ثم تُعيد حزم كل شيء ليبدو طبيعيًا.
يقوم البرنامج الخبيث بتعديل كود معالجة المعاملات لاستبدال عناوين المحفظة المشروعة بعناوين يتم التحكم فيها بواسطة المهاجم باستخدام تشفير base64.
على سبيل المثال، عندما يحاول المستخدم إرسال ETH، يقوم الكود باستبدال عنوان المستلم بعنوان المهاجم المشفر من سلسلة base64.
يمكن أن يكون تأثير هذا البرنامج الخبيث مأساويًا لأن المعاملات تظهر بشكل طبيعي في واجهة المحفظة أثناء إرسال الأموال إلى المهاجمين.
لا يمكن للمستخدمين الحصول على أي مؤشر مرئي على أن معاملاتهم قد تعرضت للاختراق حتى يتحققوا من معاملة blockchain ويكتشفوا أن الأموال ذهبت إلى عنوان غير متوقع.
