حذر الباحثون في مجال الأمان من أن نوعًا جديدًا من الهجمات يستغل بهدوء العقود الذكية لإثيريوم كقناة للأوامر والتحكم (C2)، حيث يتم إخفاء البرمجيات الخبيثة داخل حزم npm JavaScript التي تبدو غير ضارة، مستهدفةً أجهزة الكمبيوتر الخاصة بالمطورين. هذه الطريقة لا تزيد فقط من صعوبة تتبع وإزالة الهجمات، بل تستفيد أيضًا من عدم قابلية التغيير والعلنية في البلوكتشين، مما يجعل من الصعب على الدفاعات حجبها.
كيفية استغلال حزم npm الخبيثة في إثيريوم لنقل تعليمات الهجوم
اكتشفت ReversingLabs أن حزمتين من npm تُدعيان colortoolsv2 و mimelib2 تقرأان العقود الذكية المحددة على إثيريوم للحصول على عنوان URL لبرامج التنزيل الخبيثة من المرحلة الثانية، بدلاً من ترميز البنية التحتية بشكل ثابت في الحزمة.
هذا التصميم يقلل من احتمال الكشف الثابت، ويترك أدلة أقل في مراجعة الشفرة. على الرغم من أن عدد مرات تنزيل هذين الحزمتين منخفض جداً (7 مرات و 1 مرة على التوالي)، إلا أن أفكار الهجوم هذه تشكل تهديداً كبيراً لأمان سلسلة التوريد.
تزييف GitHub والهندسة الاجتماعية لتوجيه التثبيت
أظهرت التحقيقات أن ترويج هذه البرمجيات الخبيثة يأتي من شبكة مستودعات GitHub متخفية كروبوتات تداول، مثل solana-trading-bot-v2.
المهاجمون من خلال علامات النجمة الزائفة، وتاريخ التقديم المبالغ فيه، وحسابات الصيانة الوهمية، يجذبون المطورين لتثبيت الاعتماد الخبيث دون أن يدركوا ذلك.
تتشابه هذه الطريقة مع هجوم تسجيل نطاق npm في نهاية عام 2024، حيث كانت مئات الحزم تستفسر عن العقود الذكية لإثيريوم خلال مرحلة التثبيت، للحصول على عنوان URL الأساسي، ثم تحميل البرامج التنفيذية الخبيثة المستهدفة لنظامي Windows وLinux وmacOS.
تفاصيل تقنية قناة الأوامر على البلوكتشين
اكتشفت شركة الأمان Checkmarx و Phylum أن عنوان العقد الأساسي المستخدم من قبل المهاجمين هو 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b، وأنهم يستدعون getString(address) من خلال ethers.js للحصول على أحدث عنوان خادم C2.
تشمل هذه العقد C2 45.125.67.172:1337 و 193.233.201.21:3001، وستتغير مع مرور الوقت لتجنب الحظر.
نظرًا لأن بيانات العقود الذكية غير قابلة للتعديل، فإن هذه الطريقة في التخزين على البلوكتشين أصعب في الإزالة مقارنةً بـ GitHub Gist التقليدي أو التخزين السحابي.
اقتراحات الدفاع: حظر سكربتات دورة الحياة وطلبات الشبكة
ينصح الخبراء بأن يقوم فريق التطوير بتمكين معلمة --ignore-scripts أثناء تثبيت npm وعملية CI لمنع تنفيذ البرامج النصية الخبيثة تلقائيًا، وتثبيت إصدارات الحزمة من خلال ملفات القفل.
في الوقت نفسه، يجب حظر عناوين IP الخبيثة المعروفة وعناوين العقود في جدار الحماية أو الوكيل الأمني، ومراقبة المكالمات المشبوهة إلى getString(address) في سجلات البناء.
توصي الدليل الرسمي للسلامة الخاص بـ Node.js أيضًا بإجراء مراجعة أكثر صرامة على هوية الصيانة وبيانات حزمة البيانات، لتقليل مخاطر هجمات سلسلة التوريد.
الخاتمة
على الرغم من أن حجم التنزيلات المتأثرة بهذه الحادثة ليس كبيرًا، إلا أنها تكشف عن نمط هجوم أكثر خفاءً وصعوبة في الدفاع عنه - استخدام البلوكتشين كقناة أوامر مستمرة، بالاقتران مع الهندسة الاجتماعية واختراق سلسلة التوريد مفتوحة المصدر، مما يشكل تهديدًا طويل الأمد للمطورين والشركات. في المستقبل، قد يصبح دمج البرمجيات الخبيثة على السلسلة مع الهجمات التقليدية على سلسلة التوريد هو الوضع الطبيعي الجديد في مجال الأمن السيبراني.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
إثيريوم العقود الذكية暗藏 فخ!npm فخ被植入 شمعة طويلة الفتيل针对开发者的恶意程式
حذر الباحثون في مجال الأمان من أن نوعًا جديدًا من الهجمات يستغل بهدوء العقود الذكية لإثيريوم كقناة للأوامر والتحكم (C2)، حيث يتم إخفاء البرمجيات الخبيثة داخل حزم npm JavaScript التي تبدو غير ضارة، مستهدفةً أجهزة الكمبيوتر الخاصة بالمطورين. هذه الطريقة لا تزيد فقط من صعوبة تتبع وإزالة الهجمات، بل تستفيد أيضًا من عدم قابلية التغيير والعلنية في البلوكتشين، مما يجعل من الصعب على الدفاعات حجبها.
كيفية استغلال حزم npm الخبيثة في إثيريوم لنقل تعليمات الهجوم
اكتشفت ReversingLabs أن حزمتين من npm تُدعيان colortoolsv2 و mimelib2 تقرأان العقود الذكية المحددة على إثيريوم للحصول على عنوان URL لبرامج التنزيل الخبيثة من المرحلة الثانية، بدلاً من ترميز البنية التحتية بشكل ثابت في الحزمة.
هذا التصميم يقلل من احتمال الكشف الثابت، ويترك أدلة أقل في مراجعة الشفرة. على الرغم من أن عدد مرات تنزيل هذين الحزمتين منخفض جداً (7 مرات و 1 مرة على التوالي)، إلا أن أفكار الهجوم هذه تشكل تهديداً كبيراً لأمان سلسلة التوريد.
تزييف GitHub والهندسة الاجتماعية لتوجيه التثبيت
أظهرت التحقيقات أن ترويج هذه البرمجيات الخبيثة يأتي من شبكة مستودعات GitHub متخفية كروبوتات تداول، مثل solana-trading-bot-v2.
المهاجمون من خلال علامات النجمة الزائفة، وتاريخ التقديم المبالغ فيه، وحسابات الصيانة الوهمية، يجذبون المطورين لتثبيت الاعتماد الخبيث دون أن يدركوا ذلك.
تتشابه هذه الطريقة مع هجوم تسجيل نطاق npm في نهاية عام 2024، حيث كانت مئات الحزم تستفسر عن العقود الذكية لإثيريوم خلال مرحلة التثبيت، للحصول على عنوان URL الأساسي، ثم تحميل البرامج التنفيذية الخبيثة المستهدفة لنظامي Windows وLinux وmacOS.
تفاصيل تقنية قناة الأوامر على البلوكتشين
اكتشفت شركة الأمان Checkmarx و Phylum أن عنوان العقد الأساسي المستخدم من قبل المهاجمين هو 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b، وأنهم يستدعون getString(address) من خلال ethers.js للحصول على أحدث عنوان خادم C2.
تشمل هذه العقد C2 45.125.67.172:1337 و 193.233.201.21:3001، وستتغير مع مرور الوقت لتجنب الحظر.
نظرًا لأن بيانات العقود الذكية غير قابلة للتعديل، فإن هذه الطريقة في التخزين على البلوكتشين أصعب في الإزالة مقارنةً بـ GitHub Gist التقليدي أو التخزين السحابي.
اقتراحات الدفاع: حظر سكربتات دورة الحياة وطلبات الشبكة
ينصح الخبراء بأن يقوم فريق التطوير بتمكين معلمة --ignore-scripts أثناء تثبيت npm وعملية CI لمنع تنفيذ البرامج النصية الخبيثة تلقائيًا، وتثبيت إصدارات الحزمة من خلال ملفات القفل.
في الوقت نفسه، يجب حظر عناوين IP الخبيثة المعروفة وعناوين العقود في جدار الحماية أو الوكيل الأمني، ومراقبة المكالمات المشبوهة إلى getString(address) في سجلات البناء.
توصي الدليل الرسمي للسلامة الخاص بـ Node.js أيضًا بإجراء مراجعة أكثر صرامة على هوية الصيانة وبيانات حزمة البيانات، لتقليل مخاطر هجمات سلسلة التوريد.
الخاتمة
على الرغم من أن حجم التنزيلات المتأثرة بهذه الحادثة ليس كبيرًا، إلا أنها تكشف عن نمط هجوم أكثر خفاءً وصعوبة في الدفاع عنه - استخدام البلوكتشين كقناة أوامر مستمرة، بالاقتران مع الهندسة الاجتماعية واختراق سلسلة التوريد مفتوحة المصدر، مما يشكل تهديدًا طويل الأمد للمطورين والشركات. في المستقبل، قد يصبح دمج البرمجيات الخبيثة على السلسلة مع الهجمات التقليدية على سلسلة التوريد هو الوضع الطبيعي الجديد في مجال الأمن السيبراني.