كشف باحثون في مجال الأمن السيبراني عن حزمة خبيثة تم رفعها إلى مستودع Python Package Index (PyPI)، صُممت خصيصًا لاختراق عمليات التداول على منصة MEXC للعملات الرقمية عبر إعادة توجيه أوامر التداول إلى خادم خبيث وسرقة مفاتيح واجهة برمجة التطبيقات (API tokens).
تفاصيل الحزمة الخبيثة
الحزمة المسماة ccxt-mexc-futures ادعت في ملف README الخاص بها أنها امتداد لمكتبة Python الشهيرة ccxt، والتي تُستخدم في الربط مع العديد من بورصات العملات الرقمية وإجراء عمليات الدفع والتداول. ورغم إزالة الحزمة من مستودع PyPI، فإن بيانات موقع pepy.tech تُظهر أنها تم تحميلها أكثر من 1,065 مرة قبل اكتشافها.
آلية الاختراق
أوضحت شركة JFrog في تقرير أمني أن الحزمة الخبيثة كانت تعدل سلوك ثلاث واجهات برمجية رئيسية متعلقة بمنصة MEXC:
-
contract_private_post_order_submit
-
contract_private_post_order_cancel
-
spot4_private_post_order_place
كما قامت بتجاوز دوال أساسية في مكتبة ccxt الأصلية مثل:
-
describe
-
sign
-
prepare_request_headers
هذه التعديلات كانت تهدف إلى تنفيذ أوامر برمجية خبيثة محليًا على جهاز المطور، من خلال سحب حمولة خبيثة على هيئة JSON من نطاق مزيف يشبه موقع MEXC وهو v3.mexc.workers[.]dev. هذا المحتوى يقوم بتوجيه جميع الطلبات إلى خادم خارجي يُدعى greentreeone[.]com، ما يُمكّن المهاجمين من سرقة جميع بيانات المستخدمين الحساسة، بما في ذلك مفاتيح API ومفاتيح السرّ الخاصة بحسابات التداول.
تأثيرات أمنية خطيرة
أشارت JFrog إلى أن كل عملية إنشاء أو إلغاء أو تنفيذ أمر تداول يتم تحويلها بشكل خفي إلى الخادم الخبيث، ما يمنح المهاجم إمكانية السيطرة الكاملة على حسابات الضحايا في منصة MEXC وسرقة الأصول الرقمية.
توصيات أمنية عاجلة
ينصح الباحثون الأمنيون جميع المطورين الذين قاموا بتثبيت الحزمة ccxt-mexc-futures باتباع الخطوات التالية فورًا:
-
إلغاء تثبيت الحزمة من بيئات التطوير الخاصة بهم.
-
إلغاء أي مفاتيح API أو رموز وصول تم استخدامها بعد تثبيت الحزمة.
-
مراجعة صلاحيات الوصول والتأكد من عدم تنفيذ أي أوامر تداول غير مصرح بها.
تهديد متزايد في سلاسل التوريد البرمجية
يتزامن هذا الاكتشاف مع تحذيرات أطلقتها شركة Socket للأمن السيبراني بشأن تنامي استخدام حزم خبيثة في بيئات التطوير مفتوحة المصدر مثل npm وPyPI وGo وMaven لتنفيذ هجمات Shell معكوسة (Reverse Shell)، ما يُتيح للمهاجمين البقاء في النظام وسرقة البيانات الحساسة.
وتُبرز الأبحاث الأخيرة خطورة اعتماد المطورين على أدوات الذكاء الاصطناعي التوليدي، حيث تم رصد حالات “هلوسة” من نماذج اللغة الكبيرة (LLMs) تقترح تثبيت حزم وهمية غير موجودة، ما يُعطي فرصة للمهاجمين لتسجيل هذه الأسماء المزيفة في مستودعات مفتوحة المصدر ونشر برمجيات ضارة – وهي تقنية تُعرف باسم slopsquatting.
إحصائيات مقلقة:
وفقًا لدراسة أكاديمية حديثة، فإن:
-
21.7% من الحزم المقترحة من قبل نماذج الذكاء الاصطناعي مفتوحة المصدر هي حزم وهمية.
-
تم اكتشاف أكثر من 205,474 اسم حزمة وهمي فريد، ما يبرز حجم التهديد المتصاعد في سلسلة توريد البرمجيات.
