كشف باحثون في الأمن السيبراني عن رصد حزم خبيثة جديدة في سجل npm تستغل العقود الذكية على بلوكتشين Ethereum لتنفيذ أوامر ضارة على الأنظمة المصابة. ويشير هذا التطور إلى استمرار ابتكار المهاجمين لوسائل غير تقليدية لتوزيع البرمجيات الخبيثة والاختباء بعيدًا عن أعين الرصد.
وبحسب تقرير شركة ReversingLabs، فإن الحزم الضارة استخدمت العقود الذكية لإخفاء أوامر خبيثة أدت إلى تثبيت برمجيات تنزيل إضافية من خوادم خاضعة لسيطرة المهاجمين.
تفاصيل الحزم المستهدفة
الحزمتان الخبيثتان، اللتان رُفعتا إلى سجل npm في يوليو 2025 ثم أُزيلتا لاحقًا، هما:
-
colortoolsv2 (حُمّلت 7 مرات)
-
mimelib2 (حُمّلت مرة واحدة)
وأوضحت ReversingLabs أن هذه الحزم جزء من حملة أوسع وأكثر تعقيدًا تستهدف كلًا من npm وGitHub، حيث جرى خداع مطورين غير مدركين للخطر لتحميلها وتشغيلها. بينما لم تحاول الحزم نفسها إخفاء وظائفها الضارة، فإن المشاريع المستضافة على GitHub والتي استوردتها بُنيت لتبدو مشروعات موثوقة وذات مصداقية.
تقنية EtherHiding ومرحلة الاستغلال الثانية
عند استخدام أي من الحزمتين أو دمجهما في مشروع برمجي، يبدأ السلوك الخبيث بجلب وتشغيل حمولة إضافية من خادم المهاجم. الجديد في هذه الهجمات هو الاعتماد على العقود الذكية في Ethereum لتضمين عناوين URL التي تستضيف الحمولة، وهي تقنية تذكّر بأسلوب EtherHiding.
هذا الأسلوب يمثل تحولًا في التكتيكات، إذ يسعى القراصنة من خلاله إلى تجاوز أنظمة الكشف التقليدية وإطالة عمر البنية التحتية للهجوم.
استغلال GitHub لاستهداف مجتمع الكريبتو
كشفت التحقيقات أن الحزم أُدرجت في شبكة من مستودعات GitHub تروّج لمشروعات مثل “solana-trading-bot-v2″، والذي يزعم استخدام بيانات فورية من البلوكتشين لإجراء تداولات آلية. الحساب المرتبط بهذه المستودعات لم يعد متاحًا، لكن دلائل تشير إلى ارتباطه بخدمة توزيع كخدمة (DaaS) تُعرف باسم Stargazers Ghost Network، حيث تعتمد على حسابات وهمية في GitHub لزيادة شعبية مستودعات خبيثة عبر نجوم ومتابعات مزيفة.
ومن بين المستودعات الأخرى التي دفعت بالحزم الخبيثة: ethereum-mev-bot-v2 وarbitrage-bot وhyperliquid-trading-bot، ما يؤكد أن مطوري العملات الرقمية ومستخدميها هم الهدف الأساسي عبر مزيج من الخداع والهندسة الاجتماعية.
