حزمة npm خبيثة تستهدف مستخدمي Atomic Wallet وExodus عبر استبدال عناوين العملات الرقمية

حزمة npm خبيثة تستهدف مستخدمي Atomic Wallet وExodus عبر استبدال عناوين العملات الرقمية
حزمة npm خبيثة تستهدف مستخدمي Atomic Wallet وExodus عبر استبدال عناوين العملات الرقمية
شارك هذا الخبر

يواصل المهاجمون السيبرانيون تحميل حزم npm خبيثة إلى سجل npm بهدف التلاعب بالإصدارات المحلية من المكتبات الشرعية وتنفيذ تعليمات برمجية ضارة، وذلك في إطار هجوم متقدم على سلسلة توريد البرمجيات.

الحزمة الخبيثة الجديدة، التي تحمل اسم pdf-to-office، تتنكر على أنها أداة لتحويل ملفات PDF إلى مستندات Word. لكنها في الواقع، تحتوي على شيفرة خبيثة تستهدف برمجيات محافظ العملات الرقمية، مثل Atomic Wallet وExodus.

🗨️ وقالت الباحثة في ReversingLabs، لوتشيا فالينتيتش:
“عندما يحاول الضحية إرسال أموال مشفرة إلى محفظة أخرى، يتم استبدال العنوان المرسل إليه بعنوان محفظة المهاجم.”

تحليل الحزمة الخبيثة pdf-to-office

تم نشر الحزمة لأول مرة بتاريخ 24 مارس 2025، وتلقت ثلاث تحديثات لاحقة، وكان آخر إصدار منها هو 1.1.2 بتاريخ 8 أبريل. وحتى وقت النشر، تم تحميل الحزمة 334 مرة.

وتأتي هذه الاكتشافات بعد أسابيع من كشف شركاء الأمن السيبراني عن حزم npm خبيثة أخرى كانت تهدف إلى اختراق الحزم المحلية وتأسيس اتصال خلفي عبر SSH مع خوادم المهاجمين.

ما يجعل هذه الطريقة جذابة للمهاجمين هو أنها تُمكّن البرمجيات الخبيثة من البقاء على أنظمة المطورين حتى بعد حذف الحزمة من النظام.

كيف تعمل البرمجية الخبيثة؟

عند تحليل حزمة pdf-to-office، تبيّن أن الشيفرة الخبيثة تبحث عن وجود الملف  في مجلد التطبيقات على نظام ويندوز، للتأكد من تثبيت محفظة Atomic Wallet.

وإذا تم العثور على الملف:

  • تقوم البرمجية بكتابة إصدار معدل من أحد ملفات المحفظة

  • الملف المعدل يبدو شرعيًا لكنّه يستبدل عنوان المحفظة المُرسل إليه بعنوان تابع للمهاجم مشفر بصيغة Base64

وعلى نفس المنوال، تستهدف البرمجية أيضًا الملف الخاص بمحفظة Exodus، لكن مع twist تقني:

الاستهداف دقيق لإصدارات معينة:

  • Atomic Wallet: 2.91.5 و2.90.6

  • Exodus: 25.13.3 و25.9.2

وذلك لضمان تطابق ملفات JavaScript واستبدالها بشكل صحيح.

🚨 حتى بعد حذف الحزمة pdf-to-office، تبقى المحافظ مُخترقة وتستمر في تحويل الأموال إلى حساب المهاجم، إلا إذا تمت إزالة المحافظ بالكامل وإعادة تثبيتها.

تهديدات متزامنة: إضافات VS Code خبيثة

في سياق متصل، كشفت شركة ExtensionTotal عن 10 إضافات خبيثة على Visual Studio Code تقوم بتحميل سكريبت PowerShell لتعطيل أمان ويندوز، وإنشاء مهام مجدولة للبقاء، وتثبيت برمجية تعدين XMRig.

 تم تثبيت هذه الإضافات أكثر من مليون مرة قبل إزالتها، وتشمل الأسماء التالية:

  • Prettier — Code for VSCode

  • Discord Rich Presence for VS Code

  • Rojo — Roblox Studio Sync

  • Solidity Compiler

  • Claude AI

  • Golang Compiler

  • ChatGPT Agent for VSCode

  • HTML Obfuscator

  • Python Obfuscator for VSCode

  • Rust Compiler for VSCode

وسوم
محمد طاهر
محمد طاهر
المقالات: 168

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة