كشف باحثو الأمن السيبراني عن خمس حزم npm خبيثة تم نشرها بهدف Typosquatting على مكتبة عملات رقمية شرعية. الحزم هي:
- ethersproject-wallet
- base-x-64
- bs58-basic
- raydium-bs58
- base_xd
جميعها نُشرت تحت حساب باسم “galedonovan”، وتعمل على اعتراض وظائف يستخدمها المطورون عادةً لتمرير المفاتيح الخاصة.
آلية سرقة المفاتيح
وفقًا لشركة Socket، تقوم هذه الحزم بحقن كود خبيث داخل الوظائف المستهدفة. عند استدعاء الوظيفة أثناء التشغيل، يتم إرسال المفتاح الخاص سرًا إلى بوت Telegram محدد مسبقًا، ثم تُعيد الوظيفة النتيجة المتوقعة دون أي خطأ أو أثر ظاهر.
بهذا الشكل، يظل الكود يعمل بشكل طبيعي، بينما يتم تسريب البيانات الحساسة في الخلفية دون أن يلاحظ المطور أو المستخدم.
خطورة الاستهداف
هذا النوع من الهجمات يمثل تهديدًا مباشرًا لمطوري التطبيقات التي تتعامل مع العملات الرقمية، حيث يمكن أن يؤدي تسريب المفاتيح الخاصة إلى فقدان السيطرة على المحافظ الرقمية وسرقة الأصول.
الاعتماد على تقنيات Typosquatting يجعل الهجوم أكثر نجاحًا، إذ يعتمد على أخطاء إملائية بسيطة عند تثبيت الحزم، ما يوقع المطورين في فخ تثبيت مكتبات مزيفة.
توصيات للحماية
- التحقق من أسماء الحزم بدقة قبل تثبيتها.
- استخدام أدوات فحص أمنية للكشف عن السلوكيات المشبوهة في المكتبات.
- مراقبة حركة الشبكة لاكتشاف أي اتصالات غير متوقعة مع خدمات خارجية مثل Telegram.
- الاعتماد على مصادر موثوقة ومراجعة حسابات الناشرين قبل استخدام الحزم.
