قام المتسللون باختراق حزمة برمجية Injective مستخدمة على نطاق واسع في هجوم على سلسلة التوريد باستخدام برامج ضارة مصممة لسرقة المفاتيح الخاصة لمحفظة العملات المشفرة، مما يضيف إلى ناقل الهجوم المتنامي الذي يتضمن مهاجمين يستخدمون منصات مشروعة لتوصيل حمولات ضارة.
اكتشفت شركة الأمن “Socket” يوم الخميس أن حزمة npm (مدير حزم العقدة) الشهيرة مع حوالي 50000 تنزيل أسبوعي تستخدم للبناء على Injective blockchain تم تعديلها بشكل ضار لسرقة مفاتيح المحفظة الخاصة والعبارات الأولية.
إن العدد الكبير من التنزيلات يجعل الحادث “مهمًا للمطورين والتطبيقات التي تتعامل مع سير عمل Injective Wallet”، وفقًا لما ذكره باحثو سوكيت قال. تمت إزالة الكود الخبيث منذ ذلك الحين.
يعد هجوم سلسلة توريد البرامج بمثابة ناقل هجوم جديد نسبيًا حيث لا يستهدف المتسللون تشفير blockchain أو العقود الذكية بشكل مباشر، ولكن بدلاً من ذلك يعرضون للخطر أدوات المطور الموثوقة المستخدمة لبناء المحافظ والتبادلات والتطبيقات.
Injective هي طبقة 1 قابلة للتشغيل البيني مصممة لتطبيقات DeFi. وقد تضاءل استخدامه على مدى العامين الماضيين، مع تقلص القيمة الإجمالية بنسبة 88٪ إلى المستويات الحالية البالغة 8.2 مليون دولار من ذروتها البالغة 71 مليون دولار في منتصف عام 2024. حسب إلى ديفيلاما.
نسخ المفاتيح والعبارات الخاصة سرًا
تم تعديل الإصدار 1.20.21 من حزمة @injectivelabs/sdk-ts npm من خلال حساب مطور مخترق على GitHub، مع عمليات ارتكاب مشبوهة بدءًا من 8 يونيو. وتم تثبيته أيضًا عبر 17 حزمة أخرى في نطاق Injective Labs npm، “مما يكشف المستخدمين الذين ربما لم يقوموا بتثبيت SDK (مجموعة تطوير البرامج) مباشرة”، كما قال سوكيت.
وأوضح سوكيت أن “الإصدار الخبيث يربط وظائف اشتقاق مفاتيح المحفظة، ويسجل المفاتيح الخاصة وأساليب تقوية الذاكرة، ويخرجها من خلال القياس عن بعد المزيف”.
تم ربط الكود الضار بالوظائف العادية المستخدمة لإنشاء مفاتيح المحفظة، وعندما يستخدم تطبيق المطور هذه الوظائف، فإنه ينسخ العبارة الأولية أو المفتاح الخاص سرًا. تم بعد ذلك تشفير البيانات المخترقة وإرسالها إلى عنوان ويب يبدو وكأنه خادم شبكة Injective شرعي.
وأضاف سوكيت: “يجب التعامل مع أي مفاتيح أو عبارات استذكارية تم تمريرها عبر الحزم المتأثرة على أنها مخترقة”.
متعلق ب: تستهدف البرمجيات الخبيثة “TrapDoor” أدوات تطوير العملات المشفرة في هجوم سلسلة التوريد
وأفاد موقع سوكيت أن المطور الذي تم اختراق حسابه اكتشف بسرعة الاختراق، ولكن تم تنزيل البرنامج الضار أكثر من 300 مرة، و”لم يتم احتواء الحملة نفسها بالكامل بعد”.
حقن الرئيس التنفيذي اريك تشين “لقد تم إصلاح المشكلة بالفعل، وقد تم بالفعل إهمال الإصدارات المتأثرة على npm.” وقال إنه لا توجد أموال على الشبكة معرضة للخطر وأضافولم يحدد سوكيت ما إذا كانت أي أموال قد سُرقت في الحادث.
تم تنزيل حزمة npm المخترقة 310 مرة. المصدر: المقبس
تنازلات المحفظة هي الأكثر تكلفة هذا العام
التحالف الأمني (SEAL) قال في تقرير التهديدات للربع الثاني من العام، أشار التقرير إلى أن المهاجمين يستخدمون بشكل متزايد منصات مشروعة مثل GitHub وnpm وGoogle لتوصيل الحمولات.
“في بعض الحالات، يتم استخدام الأنظمة المخترقة لدفع التعليمات البرمجية الضارة مباشرة إلى مستودعات GitHub الخاصة بالشركة، مما يحول تسوية واحدة إلى قناة توزيع للقناة التالية.”
وأضاف SEAL أن البرامج الضارة نفسها أصبحت أيضًا أكثر شمولاً، “مع حمولات عبر الأنظمة الأساسية، بما في ذلك زيادة في الحملات الخاصة بنظام التشغيل macOS، والتي تجمع بين سارقي المعلومات، وأحصنة طروادة للوصول عن بعد، وقدرات الباب الخلفي في حزمة واحدة.”
وقد وقع هجوم مماثل على سلسلة التوريد إصدارات أكسيوس npm في مارس، بينما تم اكتشاف حملة برامج ضارة تسمى TrapDoor في مايو تستهدف مطوري العملات المشفرة والتمويل اللامركزي والذكاء الاصطناعي ومطوري الأمان.
جيثب نفسها تم استغلاله في 20 مايو عندما أبلغت عن وصول غير مصرح به إلى مستودعاتها الداخلية بعد اختراق جهاز أحد الموظفين.
كانت اختراقات المحفظة هي أكثر الهجمات تكلفة في النصف الأول من عام 2026، حيث تمت سرقة 444 مليون دولار عبر 33 حادثة، وفقًا لـ CertiK ذكرت الاثنين.
سمات: معضلة البيتكوين الكمومية: كتل أكبر أم أدلة ستارك؟













