تتسلل البرامج الضارة لسرقة التشفير إلى مكتبات JavaScript الأساسية التي تستخدمها الملايين
تم اختراق حساب NPM (Node Packet Manager) للمطور “QIX” ، مما سمح للمتسللين بنشر إصدارات ضارة من حزمه.
نشر المهاجمون إصدارات ضارة من العشرات من حزم جافا سكريبت الشهيرة للغاية ، بما في ذلك المرافق الأساسية. كان الاختراق هائلاً في النطاق لأن الحزم المتأثرة لديها أكثر من مليار التنزيلات الأسبوعية مجتمعة.
يستهدف هذا الهجوم على سلسلة توريد البرمجيات على وجه التحديد نظام JavaScript/Node.js.
هجوم سلسلة التوريد NPM
سقطت ديف QIX الشعبية ضحية لتصيد التصيد. الكود الضار الذي تم حقنه في حزم NPM الآن يختطف معاملات التشفير عند التوقيع.
طريقة الهجوم:
• وظائف محفظة السنانير (طلب/إرسال)
• عناوين المقايضات في معاملات ETH/SOL
• يحل محل … pic.twitter.com/jn9h4hwp8v– عملية الاحتيال sniffer | Web3 anti-scam (realscamsniffer) 8 سبتمبر 2025
برامج Crypto Clipper Malper
كان الرمز الضار “مشفرة مشفرة” مصممة لسرقة العملة المشفرة عن طريق تبديل عناوين المحفظة في طلبات الشبكة واختطاف معاملات التشفير مباشرة. كما تم التغلب عليه بشدة لتجنب الكشف.
البرامج الضارة لسرقة التشفير لديها متجهين الهجوم. عندما لا يتم العثور على امتداد محفظة تشفير ، فإن البرامج الضارة تعترض جميع حركة مرور الشبكة عن طريق استبدال وظائف جلب المتصفح وطلب HTTP مع قوائم واسعة من عناوين المحفظة المملوكة للمهاجم.
وقال باحثو الأمن السيبرانيون إن باستخدام تبادل العناوين المتطورة ، فإنه يستخدم خوارزميات للعثور على عناوين بديلة تشبه بصريًا العناوين المشروعة ، مما يجعل الاحتيال يكاد يكون من المستحيل اكتشافه مع العيون العارية.
إذا تم العثور على محفظة تشفير ، فإن البرامج الضارة تعترض المعاملات قبل التوقيع ، وعندما يبدأ المستخدمون في المعاملات ، فإنها تعدلها في الذاكرة لإعادة توجيه الأموال إلى عناوين المهاجمين.
تستهدف الهجوم الحزم مثل “Chalk” و “Strip-Asi” و “Color-Convert” و “Color-Name” ، والتي هي لبنات بناء أساسية مدفونة بعمق في أشجار تبعية عدد لا يحصى من المشاريع.
تم اكتشاف الهجوم عن طريق الخطأ عندما فشل خط أنابيب البناء مع خطأ “الجلب غير محدد” حيث حاول البرامج الضارة التخلص من البيانات باستخدام وظيفة الجلب.
“إذا كنت تستخدم محفظة للأجهزة ، فانتبه إلى كل معاملة قبل التوقيع ، وكنت آمنًا. إذا لم تستخدم محفظة الأجهزة ، فإنها تمتنع عن إجراء أي معاملات على السلسلة في الوقت الحالي” ، كما أنصح الرئيس التنفيذي لشركة Ledger Charles Guillemet.
شرح اختراق NPM الحالي
في أي موقع ويب يستخدم هذا التبعية المخترقة ، فإنه يمنح الفرصة للمتسلل لحقن التعليمات البرمجية الضارة ، لذلك على سبيل المثال ، عند النقر فوق زر “مبادلة” على موقع ويب ، قد يحل الرمز محل TX المرسلة إلى محفظتك مع TX إرسال أموال إلى …
– 0xngmi (@0xngmi) 8 سبتمبر 2025
متجه هجوم واسع
في حين أن حمولة البرامج الضارة تستهدف عملة Cryptocurrency على وجه التحديد ، فإن متجه الهجوم أوسع بكثير. يؤثر على أي بيئة تعمل على تشغيل تطبيقات JavaScript/Node.js ، مثل تطبيقات الويب التي تعمل في المتصفحات ، وتطبيقات سطح المكتب ، وتطبيقات Node.js من جانب الخادم ، وتطبيقات الأجهزة المحمولة باستخدام أطر JavaScript.
لذلك ، يمكن أن يتضمن تطبيق الويب العادي على شبكة الإنترنت هذه الحزم الضارة ، لكن البرامج الضارة لن يتم تنشيطها إلا عندما يتفاعل المستخدمون مع العملة المشفرة على هذا الموقع.
كان Uniswap و Blockstream من أوائل من طمأن المستخدمين بأن أنظمتهم لم تكن في خطر.
فيما يتعلق بتقارير هجوم سلسلة التوريد NPM:
تطبيقات uniswap ليست في خطر
أكد فريقنا أننا لا نستخدم أي إصدارات ضعيفة من الحزم المتأثرة
كما هو الحال دائمًا ، كن يقظًا
– Uniswap Labs (uniswap) 8 سبتمبر 2025
Binance Free $ 600 (Cryptopotato Exclusive): استخدم هذا الرابط لتسجيل حساب جديد واحصل على عرض ترحيب حصري بقيمة 600 دولار على Binance (التفاصيل الكاملة).
عرض محدود لقراء Cryptopotato في Bybit: استخدم هذا الرابط لتسجيل وفتح موقعًا مجانيًا بقيمة 500 دولار على أي عملة معدنية!
(tagstotranslate) القرصنة (T) البرامج الضارة
