تم الكشف عن عملية احتيال متطورة: أجهزة مزيفة تتسلل إلى الأسواق العالمية، وتستنزف الأصول الرقمية.

جدول المحتويات تعد محافظ أجهزة Ledger المزيفة في قلب التهديد المتزايد الذي يستهدف مستخدمي العملات المشفرة في جميع أنحاء العالم. قام أحد الباحثين الأمنيين بتوثيق عملية واسعة النطاق لتوزيع أجهزة Ledger Nano S Plus المزيفة من خلال أسواق متعددة عبر الإنترنت. تبدو الوحدات المخترقة مطابقة للمنتجات المشروعة ولكنها تحمل أجهزة داخلية مختلفة تمامًا. يتم إرسال البذور وأرقام التعريف الشخصية وبيانات المحفظة مباشرةً إلى الخوادم التي يتحكم فيها المهاجم، مما يؤدي إلى استنزاف أي محفظة تم تهيئتها على الجهاز. تستبدل الأجهزة المزيفة شريحة العنصر الآمن الخاصة بـ Ledger بوحدة تحكم دقيقة ESP32. تعمل هذه الشريحة البديلة على تشغيل البرامج الثابتة المعدلة المسماة "Nano S+ V2 1". وعلى عكس العنصر الآمن الحقيقي، يقوم هذا الجهاز بتخزين البيانات الحساسة في نص عادي. يتم بعد ذلك نقل هذه البيانات إلى خوادم بعيدة يتحكم فيها المهاجمون الذين يقفون وراء العملية. بالإضافة إلى الأجهزة، تقوم الحملة أيضًا بتوزيع نسخة احتيالية من Ledger Live. تم إنشاء هذا التطبيق المزيف باستخدام React Native وتم توقيعه باستخدام شهادة تصحيح الأخطاء. فهو يعترض المعاملات ويرسل بيانات المستخدم الحساسة إلى خوادم قيادة وتحكم متعددة. ليس لدى المستخدمين الذين يقومون بتنزيل هذا الإصدار أي إشارة واضحة إلى وجود خطأ ما. يمتد الهجوم إلى خمسة نواقل منفصلة: الأجهزة المخترقة، وملفات APK لنظام Android، والملفات التنفيذية لنظام Windows، ومثبتات macOS، وتطبيقات iOS. قام أحد الباحثين الأمنيين للتو بتوثيق عملية مزيفة واسعة النطاق من نوع Ledger Nano S Plus لبيع الأجهزة المخترقة عبر أسواق متعددة عبر الإنترنت. تبدو الوحدات المزيفة مطابقة للوحدة الحقيقية ولكنها تحتوي على أجهزة مختلفة تمامًا. بدلاً من تأمين Ledger… pic.twitter.com/6ZfP9pJkUU — TFTC (@ TFTC21) 16 أبريل 2026 يستخدم توزيع iOS منصة TestFlight من Apple لتجاوز عملية مراجعة متجر التطبيقات القياسية. يسمح هذا الأسلوب للبرامج الاحتيالية بالوصول إلى المستخدمين دون إجراء فحوصات أمنية نموذجية. تعمل كل قناة كنقطة دخول مستقلة لنفس عملية الاحتيال الأساسية. تم تصميم ميزة التحقق الحقيقي المضمنة في Ledger للتحقق من صحة الجهاز. ومع ذلك، يمكن تجاوز عملية التحقق هذه عند العبث بالجهاز من المصدر. وهذا يجعل نقطة الشراء متغيرًا أمنيًا بالغ الأهمية. يؤدي الشراء من بائعين غير مصرح لهم إلى إزالة الطبقة الوحيدة الموثوقة للتحقق على مستوى الأجهزة. بشكل منفصل، قام المحقق ZachXBT بتوثيق تطبيق Ledger Live مزيف آخر مر عبر مراجعة متجر تطبيقات Mac من Apple. واستنزفت تلك العملية وحدها أكثر من 9.5 مليون دولار من أكثر من 50 ضحية. ومن بين المتضررين الموسيقي G. Love، الذي خسر 5.92 بيتكوين بعد إدخال عبارة الاسترداد الخاصة به في التطبيق الاحتيالي. قدم التطبيق نفسه على أنه البرنامج الشرعي المصاحب لـ Ledger. تُظهر هاتان العمليتان معًا نمطًا واضحًا في كيفية استهداف المهاجمين لمستخدمي محافظ الأجهزة. وبدلاً من استغلال الثغرات الأمنية في البرامج الثابتة، يقومون باعتراض المستخدمين قبل وصولهم إلى جهاز أصلي. يحدث الاحتيال على مستوى التوزيع، وليس على مستوى البروتوكول. وهذا التحول يجعل سلوك المستخدم ومصدر الشراء أكثر أهمية من أي وقت مضى. تظل أفضل الممارسات الأمنية دون تغيير على الرغم من تطور التكتيكات. يجب شراء محافظ الأجهزة مباشرة من الموقع الرسمي للشركة المصنعة فقط. لن يطلب أي برنامج محفظة شرعي عبارة استرداد مكونة من 24 كلمة على الشاشة. أي تطبيق يطلب إدخال عبارة أولية هو بمثابة عملية احتيال، دون استثناء. إن الرسالة الأوسع نطاقاً من كلا الحادثين واضحة ومباشرة. تظل الأجهزة نفسها آمنة عند الحصول عليها من خلال القنوات المناسبة. تكمن الثغرة الأمنية الآن في سلسلة التوريد والنظام البيئي لتوزيع البرمجيات. تتطلب المحافظة على الأمان اهتمامًا متساويًا بمكان شراء الجهاز وكيفية الحصول على البرامج المصاحبة.