حذر باحثون في الأمن السيبراني من حملة برمجيات خبيثة جديدة تستهدف بشكل مباشر حاملي العملات الرقمية، مثل: إيثريوم (ETH) ، وسولانا (SOL) ، وXRP، هذه الهجمات تستغل محافظ شهيرة، مثل: Atomic وExodus من خلال إدخال برامج ضارة ضمن حزم برمجية تبدو طبيعية يستخدمها المطورون دون علمهم بالمخاطر الكامنة فيها.

وبمجرد تنشيط البرمجية الخبيثة يمكنها تحويل الأموال مباشرة إلى محافظ يتحكم فيها القراصنة دون أي إشعار أو تنبيه لصاحب المحفظة.

كيف تتم الهجمة؟

بحسب الباحثين يبدأ الهجوم عندما يستخدم المطورون حزم NPM مزيفة مثل حزمة تدعى "pdf-to-office" التي تبدو شرعية لكنها تحتوي على شيفرة خبيثة مخفية.

وتقوم هذه الحزمة بمسح الجهاز بحثًا عن محافظ العملات الرقمية المثبتة، ثم تدخل كودًا يسمح باعتراض المعاملات وتحويل الأموال دون علم المستخدم.

عملات متعددة في دائرة الخطر

تبيّن أن الهجمة لا تستهدف عملة واحدة فقط بل تشمل العديد من العملات الرقمية الكبرى منها إيثريوم، USDT، سولانا وXRP، ويصف الخبراء هذه الحملة بأنها تصعيد خطير في أساليب الهجوم عبر "سلاسل توريد البرمجيات" حيث يتم اختراق البرمجيات من المصدر.

تفاصيل تقنية تكشف مدى التعقيد

أعلنت شركة ReversingLabs اكتشاف الحملة من خلال فحص حزم NPM المشبوهة، وأظهر التحليل وجود علامات تحذيرية مثل روابط URL مريبة، وهياكل شيفرة مشابهة لهجمات معروفة، وتمتاز هذه البرمجيات بتقنيات متقدمة لتجنب اكتشافها من قبل برامج الحماية، وتتبع نمطًا متسلسلًا يبدأ بفحص ملفات المحافظ المخزنة في مسارات محددة ثم حقن الشيفرة الخبيثة.

لا مؤشرات بصرية تكشف التلاعب

الخطير في هذه الهجمة أن عملية السرقة لا تترك أي أثر ظاهر في واجهة المستخدم، فعند محاولة إرسال مبلغ معين مثل ETH يتم استبدال العنوان الحقيقي للمستلم بعنوان تابع للقراصنة، وهو مخفي داخل الشيفرة باستخدام ترميز base64، ولا يكتشف المستخدم هذا التلاعب إلا بعد فوات الأوان حين يتفقد سجل البلوكتشين ويكتشف أن الأموال ذهبت إلى عنوان غير مقصود.