كشف باحثون في الأمن السيبراني عن 54 حزمة npm خبيثة تستهدف أنظمة ويندوز، مستخدمةً تقنية جديدة تحمل الاسم الرمزي “إيثرهايدنغ”. تعتمد هذه التقنية على عقود ذكية في شبكة الإيثريوم كوسيط لإخفاء عنوان خادم التحكم والسيطرة (C2)، ما يمنح المهاجمين القدرة على تعديل البنية التحتية دون الحاجة إلى تغيير البرمجيات الخبيثة نفسها. هذا الأسلوب يعقّد جهود الإزالة ويجعل من الصعب على فرق الأمن تعطيل الهجمات.
قدرات متقدمة لتجنب الكشف
أوضحت شركة Veracode أن البرمجيات الخبيثة المدمجة في هذه الحزم تحتوي على آليات فحص بيئي متطورة تهدف إلى تجنب أنظمة التحليل الآلي (Sandbox). ومن أبرز هذه الآليات أنها تستهدف أنظمة ويندوز المزودة بـ خمسة معالجات أو أكثر، ما يعكس دقة في اختيار الضحايا المحتملين. كما تشمل القدرات الأخرى جمع معلومات النظام، إنشاء ثبات عبر سجل النظام باستخدام تقنية COM hijacking، وتثبيت محمل (Loader) قادر على تنفيذ الحمولة الثانية التي يتم استدعاؤها من خادم C2.
غموض في الدوافع والحمولة الثانية
رغم وضوح البنية التقنية للهجوم، فإن خادم التحكم والسيطرة (C2) المرتبط بهذه الحزم الخبيثة حالياً غير نشط، ما يجعل من الصعب تحديد الأهداف النهائية أو طبيعة الحمولة الثانية التي كان من المفترض أن تُنفذ. هذا الغموض يفتح الباب أمام احتمالات متعددة، منها التجسس، سرقة البيانات، أو حتى استخدام الأنظمة المصابة كجزء من شبكة أكبر للهجمات الموزعة.
تحديات أمام فرق الأمن السيبراني
تكشف هذه الحادثة عن تحديات جديدة تواجه فرق الأمن السيبراني، إذ أن استخدام العقود الذكية كوسيط لإدارة البنية التحتية للهجمات يمثل نقلة نوعية في أساليب الإخفاء. فبينما يمكن تعطيل خوادم تقليدية بسهولة، فإن العقود الذكية على شبكة عامة مثل الإيثريوم تجعل عملية الإزالة شبه مستحيلة، وتفرض على الباحثين تطوير أدوات جديدة لرصد ومنع هذا النوع من التهديدات.
