تم استهداف بيانات محفظة Solana وSui وAptos في هجوم حزمة TrapDoor

تستهدف حملة جديدة لسرقة العملات المشفرة المطورين الذين من المرجح أن يكون لديهم مفاتيح المحفظة وبيانات الاعتماد السحابية والوصول إلى الإنتاج على أجهزتهم.

قال باحثون في شركة الأمن سوكيت في وقت سابق من هذا الأسبوع إنهم حددوا هجومًا على سلسلة التوريد يسمى TrapDoor انتشر عبر ثلاثة سجلات برمجة رئيسية مفتوحة المصدر، مع أكثر من 34 حزمة ضارة ومئات من الإصدارات والتحف ذات الصلة.

والوجهة الرئيسية هي أن المهاجمين أصبحوا أكثر تركيزا. وبالإضافة إلى الهندسة الاجتماعية، التي تستهدف الأفراد الذين يحملون معلومات أساسية، فإن هجمات سلسلة التوريد مصممة ليس للقبض على مستخدمي التجزئة العشوائيين، بل المطورين. هؤلاء هم الأشخاص الذين قد يكون لديهم ملفات المحفظة ومفاتيح SSH ورموز GitHub وبيانات الاعتماد السحابية والوصول إلى الإنتاج على نفس الجهاز الذي يستخدمونه لإنشاء أدوات التشفير والذكاء الاصطناعي.

لم تحدد شركة سوكيت الضحايا أو الأموال المسروقة، لكنها قالت إن الحزم كانت مباشرة عبر npm وPyPI وCrates.io وتحتوي على حمولات يمكن أن تسرق بيانات المحفظة وتصفّح بيانات الاعتماد واختبار الرموز المميزة لـ AWS وGitHub وتترك وراءها الملفات للحفاظ على الوصول نشطًا.

تم إخفاء الحزم المبرمجة في JavaScript وPython وRust في شكل مساعدين للمطورين، وماسحات ضوئية أمنية، وأدوات المحفظة، وأدوات Solidity المساعدة، وحزم الذكاء الاصطناعي السريعة، ومساعدي البناء Sui أو Move.

مملة حسب التصميم

كانت الأسماء مملة حسب التصميم. تمت تسمية الحزم باسم "wallet-security-checker"، و"defi-risk-scanner"، و"solidity-build-guard"، و"move-compiler-tools"، و"llm-context-compressor"، وهي تبدو وكأنها نوع من الأدوات المساعدة الصغيرة التي قد يقوم مطور العملات المشفرة أو الذكاء الاصطناعي بتثبيتها دون الكثير من التفكير.

ومع ذلك، بمجرد التثبيت، حاولت الحمولات سحب ما هو أكثر بكثير من بيانات الحزمة.

في حزم npm، بحثت البرامج الضارة في جهاز المطور عن المفاتيح الخاصة وكلمات المرور ورموز GitHub وتسجيلات الدخول السحابية. كما اختبرت أيضًا بعض بيانات الاعتماد المسروقة، وحاولت الانتقال إلى أنظمة أخرى من خلال مفاتيح SSH وتركت وراءها ملفات يمكن أن تبقي العدوى نشطة.

مفاتيح SSH هي ملفات تسجيل دخول يستخدمها المطورون للوصول إلى الخوادم ومستودعات التعليمات البرمجية والأجهزة الأخرى. وفي حالة سرقتها، يمكنها السماح للمهاجم بالانتقال من جهاز كمبيوتر محمول مخترق إلى البنية التحتية الأوسع للشركة.

يستخدم الهجوم أيضًا ملفات مثل .cursorrules و claude.md، والتي تسمح للمطورين بإعطاء تعليمات خاصة بالمشروع لأدوات ترميز الذكاء الاصطناعي. وقال سوكيت إن الحملة زرعت تعليمات مخفية باستخدام أحرف Unicode ذات عرض صفري، في محاولة على ما يبدو لجعل جلسات مساعد الذكاء الاصطناعي المستقبلية تقوم بإجراء "عمليات فحص أمنية" مزيفة لجمع الأسرار وتسربها.

أدى ذلك إلى تحويل الهجوم من مجرد برنامج عادي لسرقة الحزم إلى شيء أقرب إلى البرامج الضارة لبيئة المطورين. يعد تثبيت الحزمة هو الخطوة الأولى فقط، حيث يكون الهدف الحقيقي هو محطة العمل، مثل المحافظ، ومستودعات إعادة الشراء، وبيانات المتصفح، ومفاتيح السحابة، والوصول إلى SSH وأي أدوات ترميز الذكاء الاصطناعي التي سيتم قراءتها بعد ذلك.

استخدمت حزم Rust نصوصًا برمجية ضارة من نوع build.rs لتشغيلها أثناء التجميع، مستهدفة المطورين sui وmove. نفذت حزم PyPI JavaScript عن بعد عند الاستيراد. تستخدم الحزم الموجودة على npm خطافات ما بعد التثبيت.

وقالت شركة سوكيت إنها أبلغت السجلات المتأثرة بالحزم وصنفت حزم الحملة على أنها ضارة. وحذرت الشركة أيضًا من أن المهاجم فتح طلبات سحب لمشاريع الذكاء الاصطناعي والمطورين، محاولًا إضافة ملفات ‎.cursorrules وCLAUDE.md من خلال مسارات المساهمة العادية مفتوحة المصدر.