كشف باحثون في مجال الأمن السيبراني عن هجوم جديد على سلسلة التوريد البرمجية استهدف مدير الحزم NuGet من خلال نشر نسخة خبيثة من مكتبة Nethereum الشهيرة المخصصة لتكامل شبكة Ethereum مع .NET، وذلك بهدف سرقة مفاتيح محافظ العملات المشفرة من الضحايا.
حزمة مزيفة تُقلّد الأصل بحرف مختلف
وفقًا لشركة الأمن السيبراني Socket، فإن الحزمة المزيفة المسماة Netherеum.All — حيث تم استبدال الحرف الإنجليزي “e” الأخير في الاسم بحرف “е” السيريلية (U+0435) — احتوت على وظائف خبيثة لتفكيك نقطة تحكم وسيطرة (C2) وإرسال عبارات الاستذكار والمفاتيح الخاصة وبيانات keystore إلى المهاجمين.
وقد تم رفع الحزمة على منصة NuGet في 16 أكتوبر 2025 من قبل مستخدم يحمل اسم “nethereumgroup”، قبل أن تُزال بعد أربعة أيام لانتهاكها شروط الخدمة.
تلاعب بعدد التنزيلات لإضفاء المصداقية
لم يكتفِ المهاجمون بتقليد الاسم؛ بل حاولوا أيضًا زيادة عدد التنزيلات بشكل مصطنع لجعل الحزمة تبدو شعبية وموثوقة، إذ أظهرت إحصاءاتها أكثر من 11.7 مليون عملية تنزيل في وقت قصير — وهو رقم غير واقعي تمامًا لحزمة جديدة.
وأوضح الباحث الأمني كيريل بويتشينكو أن المهاجمين نشروا عدة نسخ من الحزمة ثم استخدموا برامج آلية لتنزيلها من عناوين IP متعددة ومعرّفات مستخدم متغيرة لتفادي التخزين المؤقت، ما أدى إلى رفع ترتيبها في نتائج البحث داخل NuGet.
حمولة خبيثة تستهدف مفاتيح المحافظ
تضم الحزمة دالة رئيسية باسم EIP70221TransactionService.Shuffle، تقوم بتحليل سلسلة مشفّرة بطريقة XOR لاستخراج عنوان خادم التحكم والسيطرة (solananetworkinstance[.]info/api/gads)، ومن ثم ترسل بيانات المحافظ الحساسة إلى المهاجم.
كما تبيّن أن الفاعل نفسه رفع حزمة أخرى تُدعى NethereumNet في وقت سابق من أكتوبر، تحتوي على نفس الوظيفة الخبيثة، قبل أن تتم إزالتها أيضًا من قبل فريق أمان NuGet.
ضعف في سياسات التسمية داخل NuGet
يُعد هذا الحادث امتدادًا لهجمات سابقة باستخدام حيلة “homoglyph”، حيث يتم استبدال حروف بعناصر بصرية متشابهة من لغات أخرى لخداع المطورين. فقد وثّقت شركة ReversingLabs في يوليو 2024 عدة حالات مشابهة ضمن مستودع NuGet.
وعلى عكس مستودعات أخرى مثل PyPI وnpm وMaven Central وRubyGems التي تفرض استخدام أحرف ASCII فقط في أسماء الحزم، لا يضع NuGet مثل هذه القيود، ما يفتح الباب أمام التلاعب الخبيث بالأسماء.
نصائح للمطورين لتجنب الوقوع في الفخ
ينصح الباحثون بضرورة التدقيق الدقيق في هوية الناشر قبل تنزيل أي مكتبة، ومراقبة الارتفاع المفاجئ في أعداد التنزيلات، مع الانتباه لأي أنشطة اتصال غير معتادة بالشبكة قد تشير إلى تسريب بيانات من بيئة التطوير.
