
حذرت مايكروسوفت من أن المهاجمين أخفوا برامج ضارة لسرقة العملات المشفرة داخل حزم npm العامة، مما يخلق مخاطر جديدة للمطورين ومستثمري العملات المشفرة ومستخدمي المحافظ.
قالت مايكروسوفت لتهديدات الأمن السيبراني إن حزمتي npm المخترقتين، [email protected] و [email protected]، كانتا "تسيئان استخدام مستودعات Hugging Face كبنية تحتية لتسريب البيانات". وقالت الشركة إن الحزم تنشر حصان طروادة للوصول عن بعد (RAT) يمكنه جمع ضغطات المفاتيح ولقطات الشاشة وبيانات اعتماد محافظ العملات المشفرة.
npm هو سجل برامج عام يستخدمه مطورو JavaScript لبناء التطبيقات وأدوات الويب. عندما يقوم مطور بتثبيت حزمة مسمومة، يمكن للبرنامج الضار أن يعمل بهدوء على الجهاز ويراقب الملفات الحساسة أو كلمات المرور أو بيانات المحفظة.
تبرز هذه الحملة لأن المهاجمين استخدموا Hugging Face، وهي منصة موثوقة لمشاريع الذكاء الاصطناعي وتعلم الآلة، لنقل البيانات المسروقة. هذا المسار يمكن أن يجعل حركة المرور تبدو أقل ريبة من رابط مباشر إلى خادم إجرامي غير معروف.
بالنسبة لمستخدمي العملات المشفرة، يثير هذا قلقًا أمنيًا مباشرًا. قد يخزن جهاز المطور محافظ المتصفح، والمفاتيح الخاصة، وملفات العبارات الأولية (seed phrase)، ومفاتيح API للبورصات، ورموز GitHub، وبيانات تسجيل الدخول السحابية. إذا جمع المهاجمون هذه التفاصيل، فيمكنهم استهداف المحافظ ومستودعات الأكواد وأنظمة التداول.
تُظهر تغطية Crypto.news ذات الصلة أن هجمات سلسلة توريد البرامج لا تزال مشكلة قائمة في قطاع العملات المشفرة. ذكر تقرير صادر في 25 مايو أن حملة برامج TrapDoor الضارة انتشرت عبر أكثر من 34 حزمة خبيثة عبر بيئات npm و PyPI و Rust.
استهدفت تلك الحملة مطوري العملات المشفرة والذكاء الاصطناعي عن طريق سرقة بيانات المحفظة ومفاتيح API وبيانات الاعتماد السحابية ووصول SSH من خلال أدوات تطوير مزيفة. كما أظهرت كيف يستهدف المهاجمون الآن الأشخاص والأنظمة المستخدمة لبناء تطبيقات العملات المشفرة، وليس فقط المستخدمين النهائيين.
وذكر موقع Crypto.news أيضًا في مارس أن Slow Fog حذرت المطورين من إصدارات Axios الخبيثة. استجلبت الإصدارات المسمومة برامج plain-crypto-js الضارة وعرضت مطوري العملات المشفرة لبرامج RATs متعددة المنصات وبيانات اعتماد مسروقة عبر npm.
يأتي تحذير مايكروسوفت بعد تقرير آخر عن البرامج الضارة من فرقها الأمنية. في 26 مايو، قالت مايكروسوفت إن المهاجمين استخدموا نتائج بحث مسمومة وبعض تفاعلات روبوت الدردشة بالذكاء الاصطناعي لنشر تنزيلات مزيفة لأدوات مساعدة الكمبيوتر التي قامت بتثبيت برامج تعدين العملات المشفرة عبر وحدات معالجة الرسوميات (GPU).
استهدفت تلك الحملة المستخدمين الذين لديهم بطاقات رسومية قوية، بمن فيهم اللاعبون وعشاق الأجهزة. قالت مايكروسوفت إن البرامج الضارة استغلت ScreenConnect وأدوات Microsoft .NET وتنزيلات مزيفة لأدوات مثل CrystalDiskInfo و HWMonitor لتشغيل معدني العملات المشفرة.
يحافظ أحدث تحذير بشأن npm على التركيز على الخطوات الأمنية الأساسية. يجب على المطورين تدقيق عمليات تثبيت الحزم الأخيرة، وإزالة التبعيات المشبوهة، وتغيير بيانات الاعتماد المكشوفة، والتحقق من نشاط المحفظة. يجب على مستخدمي العملات المشفرة تجنب تخزين العبارات الأولية (seed phrases) على الأجهزة المتصلة والتحقق من كل معاملة محفظة قبل التوقيع.