إثيريوم العقد الذكي: المتجه الخفي الجديد لتوزيع البرمجيات الضارة

حدد باحثو الأمن السيبراني اتجاهًا مثيرًا للقلق حيث يقوم المهاجمون بإدخال أوامر خبيثة داخل العقود الذكية لبلوكتشين إيثريوم، مما يخلق تحديات كبيرة لأنظمة مراقبة الأمان.

حدد خبراء الأمن أن هذه التقنيات تسمح للمهاجمين بتمويه عملياتهم داخل معاملات بلوكتشين تبدو شرعية، مما يعقد بشكل كبير جهود الكشف من قبل الحلول الأمنية التقليدية.

ظهور أساليب هجوم متقدمة قائمة على بلوكتشين

اكتشفت شركة الامتثال للأصول الرقمية ReversingLabs حزمتين ضارتين تم نشرهما على مستودع Node Package Manager (NPM) في يوليو والتي تستفيد من هذه التقنية المتطورة.

ظهرت الحزم - المسماة "colortoolsv2" و "mimelib2" - غير ضارة في الفحص الأول ولكنها تحتوي على شفرة مشوشة مصممة لاستخراج تعليمات الأوامر من العقود الذكية على إثيريوم. بدلاً من تضمين عناوين URL ضارة مباشرة، كانت هذه الحزم تعمل كأدوات تحميل من المرحلة الأولى تسترجع عناوين خوادم التحكم من معاملات بلوكتشين قبل نشر البرمجيات الضارة الثانوية.

"ما هو ملحوظ بشكل خاص حول هذا الهجوم هو استضافة عناوين الأوامر الخبيثة بشكل استراتيجي داخل العقود الذكية لإيثريوم"، أوضحت لوسييا فالنتيتش، باحثة الأمن في ReversingLabs. "يمثل هذا تطورًا تقنيًا لم نشهده من قبل في البرية"، وأضافت، مشددة على التكيف السريع للجهات الفاعلة في التهديدات لتجنب آليات الكشف الأمني.

هندسة اجتماعية متطورة من خلال تطبيقات التداول الوهمية

تشكل الحزم المكتشفة مجرد عنصر واحد من حملة خداع أوسع يتم تنسيقها بشكل أساسي من خلال مستودعات GitHub. قام المهاجمون بإنشاء مستودعات معقدة لروبوتات تداول العملات الرقمية مع اهتمام دقيق بالتميز—مكتملة بتاريخ التزام مزيف، وملفات تعريف متعددة للمحافظين مزيفة، ووثائق شاملة مصممة لتأسيس المصداقية مع الضحايا المحتملين.

تم تصميم هذه المستودعات بعناية لتبدو شرعية وموثوقة، حيث تخفي الغرض الفعلي منها وهو توزيع البرمجيات الضارة من خلال أساليب متطورة للهندسة الاجتماعية.

لقد وثقت مراقبة الأمن 23 حملة ضارة مميزة تركز على العملات المشفرة تستهدف المستودعات مفتوحة المصدر في عام 2024 وحده. يشير المحترفون في الأمن إلى أن هذه المنهجية الجديدة - التي تجمع بين تنفيذ الأوامر المعتمدة على البلوكتشين مع الهندسة الاجتماعية المتقدمة - ترفع بشكل كبير من تعقيد عمليات الأمن الدفاعية.

السياق التاريخي للهجمات المستهدفة على العملات الرقمية

استغلال بنية إيثريوم التحتية ليس سابقة في مشهد التهديدات. في وقت سابق من هذا العام، ربط الباحثون في الأمن مجموعة لازاروس المرتبطة بكوريا الشمالية بعمليات البرمجيات الضارة التي استخدمت أيضًا تفاعلات العقود على إيثريوم، على الرغم من اختلاف تفاصيل التنفيذ الفنية.

في أبريل، وزع مجرمون إلكترونيون مستودع GitHub احتيالي يتظاهر بأنه تطبيق روبوت تداول سولانا، مستخدمين هذه الوسيلة لتوزيع برامج ضارة مصممة لاستخراج بيانات اعتماد محفظة العملات المشفرة.

حادثة مهمة أخرى تتعلق بحزمة "Bitcoinlib" بلغة بايثون، وهي مكتبة تطوير لتطبيقات البيتكوين، والتي استهدفها المهاجمون لعمليات سرقة بيانات الاعتماد المماثلة.

بينما تستمر التطبيقات التقنية المحددة في التطور، فإن النمط لا لبس فيه: أدوات تطوير العملات المشفرة ومخازن الشيفرة مفتوحة المصدر أصبحت بشكل متزايد أهدافًا رئيسية لحملات الهجوم المتطورة. إن دمج ميزات البلوكتشين مثل العقود الذكية كهيكل للقيادة يعقد بشكل كبير جهود الكشف والتخفيف.

كما لاحظ فالنتić، يستكشف المهاجمون باستمرار طرقًا مبتكرة لتجاوز ضوابط الأمان. إن النشر الاستراتيجي للبنية التحتية للأوامر الضارة على العقود الذكية لإيثريوم يُظهر التعقيد الفني الذي يستخدمه المهاجمون المعاصرون للحفاظ على مزايا تشغيلية ضد دفاعات الأمان.