حملة برامج ضارة تستهدف العملات المشفرة
شارك باحثو الأمن السيبراني تفاصيل حملة برامج ضارة تستهدف عملات إيثريوم وريبل وسولانا.
ويستهدف الهجوم بشكل أساسي مستخدمي محفظتي Atomic وExodus من خلال حزم مدير الحزم (NPM) المخترقة. ثم يقوم بإعادة توجيه المعاملات إلى عناوين يسيطر عليها المهاجم دون علم مالك المحفظة.
ويبدأ الهجوم عندما يُثبّت المطورون، دون علمهم، حزم npm مُصابة بأحصنة طروادة في مشاريعهم. وحدّد الباحثون حزمة “pdf-to-office” كحزمة مخترقة تبدو قانونية، لكنها تحتوي على برمجيات خبيثة مخفية.
وبمجرد التثبيت، تقوم الحزمة بفحص النظام بحثا عن محافظ العملات المشفرة المثبتة وتحقن تعليمات برمجية ضارة تعترض المعاملات.
تصعيد في الاستهداف
وأشار الباحثون في تقريرهم إلى أن “هذه الحملة الأخيرة تمثل تصعيدا في الاستهداف المستمر لمستخدمي العملات المشفرة من خلال هجمات سلسلة توريد البرامج”.
ويمكن للبرامج الضارة إعادة توجيه المعاملات عبر العملات المشفرة المتعددة، بما في ذلك الإيثريوم، وUSDT القائمة على شبكة ترون، وريبل وسولانا.
وحددت شركة ReversingLabs هذه الحملة من خلال تحليلها لحزم npm المشبوهة، واكتشفت مؤشرات متعددة على السلوك الخبيث، بما في ذلك روابط URL مشبوهة وأنماط برمجية مطابقة للتهديدات التي تم تحديدها سابقا. يكشف فحصها الفني عن هجوم متعدد المراحل يستخدم تقنيات تعتيم متقدمة لتجنب الكشف.
وتبدأ عملية العدوى عندما تُنفّذ الحزمة الخبيثة حمولتها المستهدفة لبرنامج المحفظة المُثبّت على النظام. يبحث الكود تحديدا عن ملفات التطبيقات في مسارات مُحدّدة.
وبمجرد تحديد موقعه، يستخرج البرنامج الخبيث أرشيف التطبيق. تنفذ هذه العملية من خلال شيفرة تُنشئ مجلدات مؤقتة، وتستخرج ملفات التطبيق، وتحقن الشيفرة الخبيثة، ثم تُعيد حزم كل شيء ليبدو طبيعيا.
ويقوم البرنامج الخبيث بتعديل كود معالجة المعاملات لاستبدال عناوين المحفظة المشروعة بعناوين يتم التحكم فيها بواسطة المهاجم باستخدام تشفير base64.
فعلى سبيل المثال، عندما يحاول المستخدم إرسال إيثريوم، يقوم الكود باستبدال عنوان المستلم بعنوان المهاجم المشفر من سلسلة base64.
اقرأ أيضا: اختراق أمني لمنصة جيميني يهدد بيانات العملاء: إليك التفاصيل
ويمكن أن يكون تأثير هذا البرنامج الخبيث مأساويا لأن المعاملات تظهر بشكل طبيعي في واجهة المحفظة أثناء إرسال الأموال إلى المهاجمين.
وتجدر الإشارة إلى أنه لا يمكن للمستخدمين الحصول على أي مؤشر مرئي على أن معاملاتهم قد تعرضت للاختراق حتى يتحققوا من معاملة البلوكتشين ويكتشفوا أن العملة ذهبت إلى عنوان غير متوقع.
