مفتوح المصدر مشروع يحتوي على كود خبيث، تم سرقة المفتاح الخاص لمستخدمي Solana

في أوائل يوليو 2025، أثار حدث هجوم خبيث استهدف مستخدمي Solana اهتمام فريق الأمان. اكتشف أحد المستخدمين أن أصوله المشفرة تعرضت للسرقة بعد استخدام مشروع مفتوح المصدر مستضاف على GitHub. بعد تحقيقات معمقة، كشف الخبراء الأمنيون عن ملابسات هذا الحدث.

حدثت الواقعة بسبب مشروع على GitHub يسمى "solana-pumpfun-bot". يبدو أن عدد النجوم والتفرعات في هذا المشروع مرتفع للغاية، لكن تاريخ تقديم التعليمات البرمجية مركزي بشكل غير عادي ويفتقر إلى ميزات التحديث المستمر. من خلال تحليل أعمق، تبين أن المشروع يعتمد على حزمة طرف ثالث مشبوهة "crypto-layout-utils".

تم حذف هذه الحزمة المشبوهة من قبل npm الرسمي، ولا توجد آثار للإصدار المحدد في السجل الرسمي. من خلال فحص ملف package-lock.json، اكتشف الباحثون أن المهاجمين قد قاموا ببراعة بتغيير رابط تحميل هذه الحزمة إلى عنوان صفحة إصدار GitHub.

بعد تنزيل وتحليل هذه الحزمة الضارة المعقدة للغاية، أكد فريق الأمان أنها تحتوي على رمز ضار يمسح ملفات جهاز الكمبيوتر للمستخدم. بمجرد اكتشاف محتوى يتعلق بالمحفظة أو المفتاح الخاص، سيتم رفعه إلى الخادم الذي يتحكم فيه المهاجم.

أظهرت التحقيقات أيضًا أن المهاجمين قد يكونون قد سيطروا على عدة حسابات GitHub، لاستخدامها في توزيع البرامج الضارة وزيادة مصداقية المشاريع. لقد جذبوا المزيد من المستخدمين من خلال عمليات Fork و Star لتوسيع نطاق الهجوم.

بالإضافة إلى "crypto-layout-utils"، تم استخدام حزمة ضارة أخرى تُدعى "bs58-encrypt-utils" في هجمات مماثلة. وهذا يشير إلى أن المهاجمين بدؤوا في توزيع الشيفرات الضارة من خلال استبدال روابط التنزيل بعد سحب الحزمة من npm.

تظهر التحليلات على السلسلة أن الأموال المسروقة تم تحويلها عبر بعض محافظ الوسيطة، ثم وصلت في النهاية إلى منصات تداول العملات المشفرة.

تسليط الضوء على التحديات الأمنية التي تواجه مجتمع البرمجيات مفتوحة المصدر. تمكن المهاجمون من خداع المستخدمين لتشغيل كود يحتوي على اعتمادات خبيثة من خلال إخفاء مشاريع شرعية وزيادة الشهرة، مما أدى إلى تسرب المفتاح الخاص وفقدان الأصول.

ينصح خبراء الأمن المطورين والمستخدمين بالبقاء حذرين للغاية تجاه مشاريع GitHub غير المعروفة المصدر، خاصةً عندما يتعلق الأمر بمحافظ أو المفتاح الخاص. إذا كنت بحاجة إلى تصحيح الأخطاء، فمن الأفضل القيام بذلك في بيئة معزولة لتجنب تسرب البيانات الحساسة.

تتعلق هذه الحادثة بالعديد من مستودعات GitHub الضارة وحزم npm، وقد قامت فرق الأمان بتجميع المعلومات ذات الصلة لتكون مرجعًا للمجتمع. يجب على المطورين توخي الحذر عند استخدام الاعتمادات الخارجية، ومراجعة أمان المشاريع بشكل دوري، والحفاظ معًا على صحة نظام المصادر المفتوحة.