البرمجيات الخبيثة تستغل العقود الذكية لإثيريوم لتجنب الكشف

تهديد جديد لأمان بلوكتشين

لقد طور مجرمو الإنترنت طريقة معقدة لتوزيع البرمجيات الضارة من خلال العقود الذكية على إيثيريوم، متجاوزين عمليات المسح الأمني التقليدية. وقد تم تحديد هذه التطور في الهجمات الإلكترونية من قبل باحثي الأمن السيبراني في ReversingLabs، الذين اكتشفوا برمجيات خبيثة جديدة مفتوحة المصدر في مستودع Node Package Manager (NPM)، وهو مجموعة ضخمة من الحزم والمكتبات جافا سكريبت.

آلية الهجوم الفني

أشارت الباحثة في ReversingLabs، لوسييا فالينتيتش، في منشور حديث لها إلى أن الحزم الخبيثة، المسماة "colortoolsv2" و "mimelib2"، تستخدم عقودًا ذكية على Ethereum لإخفاء الأوامر الخبيثة. تعمل هذه الحزم، التي تم نشرها في يوليو، كأدوات تحميل تسترد عناوين خوادم القيادة والتحكم من العقود الذكية بدلاً من استضافة روابط خبيثة مباشرة.

تُعقِّد هذه التقنية بشكل كبير جهود الكشف، حيث يبدو أن حركة مرور البلوكتشين شرعية، مما يسمح للبرمجيات الخبيثة بتثبيت برامج تنزيل على الأنظمة المخترقة دون إثارة الإنذارات في أنظمة الأمان التقليدية.

تطور استراتيجيات التهرب

إن استخدام العقود الذكية من إيثريوم لاستضافة عناوين URL التي تحتوي على الأوامر الخبيثة يمثل تقنية جديدة في نشر البرمجيات الضارة. وأشار فالنتيش إلى أن هذه الطريقة تمثل تغييرًا كبيرًا في استراتيجيات التهرب من الكشف، حيث يستغل الفاعلون الخبيثون بشكل متزايد مستودعات الشيفرة المفتوحة والمطورين.

تم استخدام هذه التكتيك سابقًا من قبل مجموعة لازاروس المرتبطة بكوريا الشمالية في وقت مبكر من هذا العام. ومع ذلك، فإن النهج الحالي يظهر تطورًا سريعًا في متجهات الهجوم، حيث يتضمن تقنية البلوكشين لزيادة فعاليتها.

حملة الهندسة الاجتماعية المُعدة

تشكل الحزم الخبيثة جزءًا من حملة خداع أوسع تعمل أساسًا من خلال GitHub. قام المهاجمون بإنشاء مستودعات مزيفة لبرامج تداول العملات المشفرة، مقدمين إياها على أنها موثوقة من خلال:

• الكوميتات المصنعة
• حسابات مستخدم مزيفة
• حسابات متعددة للمحافظين
• أوصاف المشاريع ووثائق ذات مظهر احترافي

تسعى هذه الاستراتيجية المعقدة للهندسة الاجتماعية إلى التهرب من طرق الكشف التقليدية من خلال دمج تقنية البلوكشين مع الممارسات المضللة، مما يخلق مظهراً من الشرعية يصعب التعرف عليه.

مشهد تهديدات متزايدة

في عام 2024، وثق باحثو الأمن 23 حملة خبيثة مرتبطة بالعملات المشفرة في مستودعات التعليمات البرمجية المفتوحة. ومع ذلك، فإن هذا المتجه الأخير للهجوم يبرز التطور المستمر للهجمات على المستودعات.

بعيدًا عن إيثريوم، تم استخدام تكتيكات مماثلة في منصات أخرى، مثل مستودع مزيف على GitHub كان يتظاهر بأنه روبوت تداول من سولانا، الذي وزع برامج ضارة لسرقة بيانات اعتماد محافظ العملات المشفرة. بالإضافة إلى ذلك، قام القراصنة بالهجوم على "Bitcoinlib"، وهي مكتبة بايثون مفتوحة المصدر مصممة لتسهيل تطوير البيتكوين، مما يوضح أكثر طبيعة هذه التهديدات السيبرانية المتنوعة والتكيفية.

تدابير الحماية الموصى بها

لحماية أنفسهم من هذا النوع من التهديدات، يجب على مستخدمي العملات الرقمية تنفيذ عدة طبقات من الأمان:

• استخدم محافظ الأجهزة للتخزين الآمن
• تفعيل المصادقة الثنائية على جميع المنصات
• الحفاظ على تحديث برنامج الأمان والأجهزة
• التحقق بدقة من صحة مستودعات الشيفرة قبل استخدامها
• تنفيذ حلول الرصد المستمر لاكتشاف الأنشطة المريبة

تظهر تطورات هذه التهديدات أهمية الحفاظ على ممارسات أمان قوية ومحدثة في نظام البلوكشين، خاصة للمطورين والمستخدمين الذين يتفاعلون مع العقود الذكية ومخازن الكود المفتوح.