حملة جديدة لسرقة العملات المشفرة تستهدف المطورين الأكثر احتمالاً لامتلاك مفاتيح المحافظ وبيانات اعتماد السحابة ووصول الإنتاج على أجهزتهم.
قال باحثون في شركة الأمن Socket في وقت سابق من هذا الأسبوع إنهم حددوا هجومًا على سلسلة التوريد يُسمى TrapDoor انتشر عبر ثلاثة سجلات برمجية مفتوحة المصدر، ويتضمن أكثر من 34 حزمة خبيثة ومئات الإصدارات والقطع المرتبطة بها.
الاستنتاج الرئيسي هو أن المهاجمين يصبحون أكثر تركيزًا. بالإضافة إلى الهندسة الاجتماعية، التي تستهدف الأفراد الذين يحملون معلومات رئيسية، فإن هجمات سلسلة التوريد لا تُصمم للإيقاع بمستخدمين تجزئة عشوائيين بل بالمطورين. هؤلاء هم الأشخاص الذين قد يمتلكون ملفات المحافظ ومفاتيح SSH ورموز GitHub وبيانات اعتماد السحابة ووصول الإنتاج على نفس الجهاز الذي يستخدمونه لبناء أدوات العملات المشفرة والذكاء الاصطناعي.
لم يحدد Socket الضحايا أو الأموال المسروقة، لكنه قال إن الحزم كانت نشطة عبر npm وPyPI وCrates.io وتحتوي على حمولات يمكنها سرقة بيانات المحفظة، وسرقة بيانات الاعتماد، واختبار رموز AWS وGitHub، وترك ملفات للحفاظ على الوصول النشط.
تم تمويه الحزم المبرمجة بلغات JavaScript وPython وRust على أنها مساعدين للمطورين، ومسحّات أمان، وأدوات محفظة، وأدوات Solidity، وحزم محفزات الذكاء الاصطناعي، ومساعدين لبناء Sui أو Move.
كانت الأسماء مملة عن قصد. تم تسمية الحزم بـ "wallet-security-checker" و"defi-risk-scanner" و"solidity-build-guard" و"move-compiler-tools" و"llm-context-compressor"، وكأنها أنواع من الأدوات الصغيرة التي قد يثبّتها مطوّر العملات المشفرة أو الذكاء الاصطناعي دون تفكير كبير.
ومع ذلك، بعد التثبيت، حاولت الحمولة استرداد المزيد بكثير من بيانات الحزمة.
في حزم npm، بحث البرنامج الضار عن المفاتيح الخاصة وكلمات المرور ورموز GitHub وتسجيلات الدخول السحابية على جهاز المطور. كما اختبر بعض بيانات الاعتماد المسروقة، وحاول الانتقال إلى أنظمة أخرى من خلال مفاتيح SSH، وترك ملفات يمكنها الحفاظ على النشاط الضار.
مفاتيح SSH هي ملفات تسجيل دخول يستخدمها المطورون للوصول إلى الخوادم ومستودعات الكود والآلات الأخرى. إذا سُرقت، يمكنها السماح للمهاجم بالانتقال من جهاز كمبيوتر مخترق واحد إلى البنية التحتية الأوسع للشركة.
كما يستخدم الهجوم ملفات مثل .cursorrules وclaude.md، التي تسمح للمطورين بإعطاء تعليمات مخصصة للمشاريع لأدوات البرمجة بالذكاء الاصطناعي. وقال Socket إن الحملة زرعت تعليمات خفية باستخدام أحرف يونيكود بعرض صفر، في محاولة واضحة لجعل جلسات المساعدات الذكية المستقبلية تُجري "فحوصات أمنية" وهمية جمعت ونقلت الأسرار.
هذا حوّل الهجوم من سارق حزم عادي إلى شيء أقرب إلى برامج خبيثة موجهة لبيئة المطور. تثبيت الحزمة هو فقط الخطوة الأولى، والهدف الحقيقي هو محطة العمل، مثل المحافظ، المستودعات، بيانات المتصفح، مفاتيح السحابة، وصول SSH وأي أدوات ترميز ذكاء اصطناعي قد تُقرأ لاحقًا.
استخدمت حزم Rust نصوص build.rs ضارة للتشغيل أثناء التجميع، مستهدفة مطوري Sui و Move. ونفذت حزم PyPI JavaScript عن بُعد عند الاستيراد. واستخدمت الحزم على npm مُفعّلات postinstall.
قال Socket إنه أبلغ الوكالات المعنية عن الحزم وصنّف حزم الحملة على أنها ضارة. كما حذّرت الشركة من أن المهاجم فتح طلبات سحب إلى مشاريع الذكاء الاصطناعي ومطوري البرمجيات، محاولاً إضافة ملفات .cursorrules وCLAUDE.md عبر مسارات مساهمة مفتوحة المصدر العادية.