مستخدمو Solana يتعرضون لسرقة المفتاح الخاص، حزمة NPM خبيثة تصبح الجاني

في أوائل يوليو 2025، أثارت حادثة سرقة الأصول الموجهة لمستخدمي Solana انتباه خبراء الأمن. كانت الحادثة نتيجة استخدام الضحية لمشروع مفتوح المصدر مستضاف على GitHub يُدعى solana-pumpfun-bot، مما أدى إلى سرقة الأصول المشفرة.

بعد أن أجرى فريق الأمان تحقيقًا، تم اكتشاف أن المشروع على الرغم من ارتفاع عدد Star و Fork، إلا أن توقيت تقديم الشيفرة كان مركزًا بشكل غير عادي، مما يفتقر إلى خصائص التحديث المستمر. تكشف التحليلات الإضافية أن المشروع يعتمد على حزمة طرف ثالث مشبوهة تُدعى crypto-layout-utils، والتي تم إزالتها من قبل NPM رسميًا.

اكتشف المحققون في ملف package-lock.json أن المهاجمين استبدلوا رابط تحميل crypto-layout-utils بإصدار موجود في مستودع GitHub. هذا الإصدار مشوش بشكل كبير، وهو في الواقع حزمة NPM خبيثة، قادرة على مسح الملفات الحساسة على جهاز المستخدم، ورفع المحتوى الذي يحتوي على المفتاح الخاص إلى خادم تحت سيطرة المهاجمين.

قد يكون المهاجمون قد سيطروا أيضًا على عدة حسابات GitHub لاستخدامها في Fork مشاريع ضارة وزيادة مصداقيتها. بالإضافة إلى crypto-layout-utils، تم اكتشاف حزمة ضارة أخرى تُدعى bs58-encrypt-utils تشارك في الهجوم.

من خلال أدوات تحليل السلسلة، تتبعت الفرق الأمنية جزءًا من الأموال المسروقة التي تدفقت إلى منصة تداول معينة.

تسليط الضوء على المخاطر الأمنية الكامنة في المشاريع مفتوحة المصدر. قام المهاجمون من خلال التظاهر بمشاريع مشروعة، بالجمع بين الهندسة الاجتماعية والوسائل التقنية، بإغراء المستخدمين بنجاح لتشغيل الشيفرة التي تحمل تبعيات خبيثة، مما أدى إلى تسرب المفتاح الخاص وخسارة الأصول.

ينصح الخبراء الأمنيون المطورين والمستخدمين بضرورة توخي الحذر الشديد تجاه مشاريع GitHub التي لا يُعرف مصدرها، خاصة تلك التي تتعلق بمحافظ أو عمليات المفتاح الخاص. إذا كان من الضروري التصحيح، فمن الأفضل القيام بذلك في بيئة مستقلة وخالية من البيانات الحساسة.

تتعلق هذه الحادثة بعدة مستودعات GitHub و حزم NPM ضارة، وقد قامت فريق الأمان بتجميع المعلومات ذات الصلة للرجوع إليها. مع تطور أساليب الهجوم، يجب على المستخدمين أن يكونوا حذرين بشكل خاص عند استخدام المشاريع مفتوحة المصدر، لتجنب التهديدات الأمنية المحتملة.