كشفت منصة “كوين ماركت كاب” (CMC)، إحدى أشهر منصات تتبع أسعار العملات الرقمية، عن تعرض موقعها للاختراق، حيث تم عرض “نافذة منبثقة خبيثة تطلب من المستخدمين ‘التحقق من المحفظة'” بغرض سرقة أصولهم الرقمية. ورغم عدم وضوح آلية الهجوم، أكدت الشركة أنها حددت الشفرة الخبيثة وأزالتها من الموقع.
وفقًا لشركة “كوينسبكت” للأمن، تم حقن الكود الضار عبر ميزة “الدودلز” الدوارة (Doodles) في الموقع، والتي يتم تحميلها من النطاق api.coinmarketcap[.]com. وأوضحت الشركة: “واجهة برمجة التطبيقات (API) الخاصة بـ CoinMarketCap قدمت بيانات JSON معدلة لحقن كود جافا سكريبت خبيث عبر ميزة ‘الدودلز’ الدوارة. لم يرَ جميع المستخدمين النافذة، لأن الدودل المعروض يختلف بزيارة كل مستخدم. لكن الكود الضار كان يُحمّل دائمًا عند زيارة مسار /doodles/”.
ظهور نافذة منبثقة غير متوقعة لبعض المستخدمين
وتضمن الهجوم تحميل الكود الخبيث من ملف JSON الخاص بـ “دودل” يحمل اسم “CoinmarketCLAP”، مستغلًا ثغرة في ملفات رسوميات “لوتي” المتحركة (Lottie animation JSON) لحقن كود جافا سكريبت عشوائي من موقع خارجي يُدعى static.cdnkit[.]io.
وقالت “كوين ماركت كاب” في بيان: “في 20 يونيو 2025، رصد فريقنا الأمني ثغرة مرتبطة بصورة ‘دودل’ معروضة على الصفحة الرئيسية. احتوت هذه الصورة على رابط ينفذ كودًا خبيثًا عبر استدعاء API، مما تسبب في ظهور نافذة منبثقة غير متوقعة لبعض المستخدمين عند زيارة الصفحة الرئيسية”.
سرقة نحو 43,266 دولارًا من 110 ضحية
لم تفصح الشركة عن عدد المستخدمين الذين واجهوا النافذة أو ما إذا تم اختراق أي محافظ. لكن وفقًا لصور نشرها مخترق يُدعى “ReyXBF” على منصة “إكس” (X)، تم سرقة نحو 43,266 دولارًا من 110 ضحية تفاعلوا مع النافذة المزيفة.
وأكدت شركة “c/side” للأمن أن “الهجوم كان من نوع اختراق سلسلة التوريد، أي أن الخرق لم يستهدف خوادم CMC مباشرةً، بل أداة أو موردًا تابعًا لجهة خارجية تستخدمه المنصة”.
