كشف باحثون في الأمن السيبراني عن أربع حزم خبيثة جديدة في سجل npm الشهير، تستهدف مطوري إيثريوم (Ethereum) من خلال سرقة بيانات محافظ العملات المشفرة الخاصة بهم.
ووفقًا لتحليل الباحث كوش باندايا من شركة Socket، فإن هذه الحزم تتظاهر بأنها أدوات تشفير شرعية وبنية تحتية خاصة بـ Flashbots MEV، لكنها في الواقع تقوم بتهريب المفاتيح الخاصة وعبارات الاستذكار (Mnemonic Seeds) إلى روبوت دردشة على منصة تيليغرام يخضع لسيطرة المهاجمين.
تفاصيل الهجوم وانتحال الهوية
تم رفع هذه الحزم على منصة npm من قبل مستخدم يحمل اسم flashbotts، حيث يعود تاريخ أقدم مكتبة خبيثة إلى سبتمبر 2023، بينما كان أحدث رفع في 19 أغسطس 2025.
ومن أبرز الحزم التي ما تزال متاحة للتنزيل حتى الآن:
-
@flashbotts/ethers-provider-bundle (عدد التنزيلات: 52)
-
flashbot-sdk-eth (عدد التنزيلات: 467)
-
sdk-ethers (عدد التنزيلات: 90)
-
gram-utilz (عدد التنزيلات: 83)
ويأتي استغلال اسم Flashbots بشكل مقصود، لما له من دور محوري في مواجهة الآثار السلبية لـ القيمة القابلة للاستخراج القصوى (MEV) على شبكة إيثريوم، مثل هجمات الـ sandwich والـ liquidation والـ front-running وغيرها.
أخطر الحزم المكتشفة وآلياتها الخفية
تُعد مكتبة @flashbotts/ethers-provider-bundle الأخطر بين هذه الحزم، حيث تتخفى وراء واجهة تدّعي التوافق الكامل مع واجهة برمجة تطبيقات Flashbots، بينما تخفي بداخلها قدرات خبيثة لنقل المتغيرات البيئية عبر بروتوكول SMTP باستخدام خدمة Mailtrap.
كما أن هذه الحزمة تضيف وظائف للتلاعب بالمعاملات، من خلال إعادة توجيه أي معاملات غير موقعة إلى محفظة يسيطر عليها المهاجم، إضافة إلى تسجيل بيانات من المعاملات الموقعة مسبقاً.
أما مكتبة sdk-ethers فتبدو في ظاهرها آمنة، لكنها تحتوي على وظيفتين مخصصتين لإرسال عبارات الاستذكار إلى روبوت تيليغرام، يتم تفعيلهما فقط عند استدعائهما في مشاريع المطورين.
في حين أن مكتبة flashbot-sdk-eth تستهدف بدورها سرقة المفاتيح الخاصة، بينما توفر gram-utilz آلية معيارية لتهريب أي بيانات أخرى نحو دردشة المهاجمين في تيليغرام.
خطورة سرقة عبارات الاستذكار ودلالات التحقيق
نظرًا لأن عبارات الاستذكار تمثل “المفتاح الرئيسي” للوصول إلى محافظ العملات الرقمية، فإن سرقتها تتيح للمهاجمين السيطرة الكاملة على المحافظ المستهدفة.
وقد عُثر في الشيفرة المصدرية للحزم على تعليقات مكتوبة باللغة الفيتنامية، ما يشير إلى احتمال أن يكون منفذو الهجوم ناطقين بالفيتنامية وذوي دوافع مالية.
تهديد لسلسلة التوريد البرمجية
تكشف هذه النتائج عن محاولة متعمدة من المهاجمين لاستغلال الثقة التي يمنحها المطورون لحزم npm المعروفة، من أجل شن هجمات على سلسلة التوريد البرمجية.
وأوضح الباحث باندايا أن الثقة الواسعة التي تحظى بها Flashbots لدى المدققين والمطورين في مجال التمويل اللامركزي (DeFi) تجعل أي حزمة تنتحل هويتها أكثر عرضة للاعتماد، ما يفتح الباب أمام سرقة فورية وغير قابلة للاسترجاع للأموال.
وأضاف: “من خلال استغلال ثقة المطورين في أسماء الحزم المألوفة، وحشو الشيفرة الخبيثة داخل أدوات تبدو شرعية، تتحول عملية التطوير الروتينية في بيئة Web3 إلى قناة مباشرة لسرقة البيانات والأموال عبر روبوتات تيليغرام التي يتحكم بها المهاجمون”.
