كشف باحثون في الأمن السيبراني عن امتداد خبيث لمتصفح كروم يتخفّى في هيئة محفظة إيثريوم شرعية، بينما يخفي في داخله قدرات لسرقة عبارات الاسترجاع الخاصة بالمستخدمين. يحمل الامتداد اسم “Safery: Ethereum Wallet”، ويروَّج له على أنه “محفظة آمنة لإدارة عملة إيثريوم بإعدادات مرنة”. وقد جرى رفعه على متجر كروم في 29 سبتمبر 2025، وتم تحديثه مؤخرًا في 12 نوفمبر، وما يزال متاحًا للتنزيل حتى لحظة كتابة التقرير.
آلية الخداع: محفظة تبدو آمنة لكنها مزروعة بباب خلفي
قال الباحث كيريل بويتشينكو من شركة Socket إن الامتداد، رغم تقديم نفسه كمحفظة بسيطة وآمنة لعملة إيثريوم، يحتوي على باب خلفي يقوم بتهريب عبارات الاسترجاع عبر ترميزها داخل عناوين Sui وبث معاملات صغيرة جدًا تنطلق من محفظة Sui يتحكم بها المهاجم. ويُظهر التحليل أن البرمجية الخبيثة المضمّنة في الإضافة قادرة على سرقة العبارات المكوّنة للمحفظة من خلال تحويلها إلى عناوين Sui مزيفة، ثم إرسال معاملات دقيقة تبلغ 0.000001 SUI إلى تلك العناوين من محفظة يمتلكها المهاجم.
تهريب العبارات داخل معاملات بلوك تشين اعتيادية
الهدف النهائي لهذا الأسلوب المبتكر هو تمرير عبارات الاسترجاع داخل معاملات تبدو طبيعية على شبكة البلوك تشين، دون الحاجة إلى تشغيل خادم تحكم وسيطرة لتلقي البيانات. وبمجرد اكتمال المعاملات، يصبح بمقدور المهاجم فك ترميز عناوين المستقبل لإعادة بناء عبارة الاسترجاع الأصلية، وبالتالي سحب الأصول الرقمية من المحافظ المستهدفة.
وأوضحت شركة Koi Security في تحليلها أن الامتداد “يسرق عبارات الاسترجاع عبر ترميزها في عناوين Sui مزيفة ثم إرسال معاملات دقيقة إليها من محفظة يتحكم بها المهاجم، مما يتيح له مراقبة الشبكة، وفك العناوين المستلمة، ومن ثم السيطرة على أموال الضحايا”.
توصيات للتصدي للتهديدات المرتبطة بامتدادات المحافظ
يوصي الباحثون المستخدمين بالاعتماد فقط على امتدادات المحافظ الموثوقة، بينما يُنصح المدافعون بفحص الامتدادات بحثًا عن آليات ترميز عبارات الاسترجاع، أو مولدات العناوين الاصطناعية، أو وجود عبارات مدمجة داخل الكود، إضافة إلى حظر أي امتداد يقوم بالكتابة على السلسلة أثناء استيراد أو إنشاء محفظة جديدة.
وأكد بويتشينكو أن هذه التقنية تتيح للمهاجمين التبديل بين الشبكات ونقاط RPC بسهولة كبيرة، ما يعني أن أنظمة الكشف التي تعتمد على النطاقات أو عناوين URL أو مُعرّفات الامتدادات قد تفشل في رصدها. وأضاف: “يجب التعامل مع أي طلبات RPC غير متوقعة من المتصفح باعتبارها إشارة عالية الخطورة، خاصة عندما يدّعي التطبيق أنه يعمل على سلسلة واحدة فقط”.
