كشف باحثون في الأمن السيبراني عن حزمة برمجية خبيثة مكتوبة بلغة Rust تحمل اسم “evm-units”، جرى رفعها إلى منصة crates.io في أبريل 2025 من قبل مستخدم باسم “ablerust”. هذه الحزمة تظاهرت بأنها أداة مساعدة مرتبطة بـ Ethereum Virtual Machine (EVM)، لكنها في الواقع كانت وسيلة لنشر برمجيات خبيثة تستهدف أنظمة تشغيل مختلفة تشمل Windows وmacOS وLinux. وقد تجاوز عدد مرات تحميلها 7 آلاف مرة خلال ثمانية أشهر، فيما ارتبطت بحزمة أخرى تدعى “uniswap-utils” التي جرى تحميلها أكثر من 7400 مرة قبل أن يتم حذفهما من المستودع الرسمي.
آلية الاستهداف عبر أنظمة التشغيل
الحزمة الخبيثة صُممت بذكاء لتحديد نظام التشغيل المستخدم، ثم تنزيل حمولة ضارة من موقع خارجي “download.videotalks[.]xyz”.
- على Linux، يتم تنزيل سكربت وحفظه في مجلد /tmp/init وتشغيله في الخلفية باستخدام أمر nohup.
- على macOS، يتم تنزيل ملف باسم init وتشغيله عبر osascript بنفس الآلية.
- على Windows، يتم حفظ الحمولة كملف PowerShell باسم “init.ps1” داخل مجلد مؤقت، مع التحقق من وجود عملية “qhsafetray.exe” المرتبطة ببرنامج الحماية الصيني Qihoo 360 Total Security.
في حال عدم وجود العملية، يتم إنشاء ملف VBScript لتشغيل السكربت بشكل مخفي، أما إذا كان برنامج الحماية موجوداً، فيتم تعديل سير التنفيذ لتفادي كشفه.
خلفيات الاستهداف ودلالاته الأمنية
التركيز على برنامج Qihoo 360 يُعد مؤشراً نادراً على استهداف موجه نحو الصين، حيث يُعتبر هذا البرنامج من أبرز منتجات شركة أمنية صينية كبرى. الباحثة أوليفيا براون من شركة Socket أوضحت أن هذا النمط يتماشى مع هجمات سرقة العملات المشفرة، خصوصاً أن آسيا تُعد من أكبر الأسواق العالمية في هذا المجال.
تهديد لسلسلة التوريد في بيئة Web3
الخطورة تكمن في أن الحزمة الخبيثة لم تُدمج فقط داخل “evm-units”، بل جرى تضمينها كاعتماد في حزمة أخرى واسعة الاستخدام هي “uniswap-utils”، ما يعني أن الكود الضار كان يُنفذ تلقائياً أثناء عملية التهيئة. هذا النوع من الهجمات يُعرف بـ هجمات سلسلة التوريد البرمجية، ويُظهر كيف يمكن لمهاجم واحد أن يستغل ثقة المطورين في أدوات مفتوحة المصدر لزرع برمجيات خبيثة تستهدف بيئة Web3، التي تعتمد بشكل كبير على بروتوكولات مثل Ethereum وUniswap.
