احتيال Solana bot على GitHub يسرق العملات الرقمية من المستخدمين

في تقرير مثير للاهتمام اليوم، 10 أغسطس 2025، كشفت شركة الأمان الرقمي SlowMist عن مستودع مزيف على GitHub يتظاهر بأنه bot تداول شرعي لـ Solana، لكنه في الواقع يوزع malware مخفي يسرق بيانات محافظ العملات الرقمية. تخيل أنك تبحث عن أداة تساعدك في تداول Solana، وتقع ضحية لشيء يشبه تمامًا البرمجيات المفتوحة المصدر، لكنها في الحقيقة فخ يؤدي إلى فقدان أموالك. هذا بالضبط ما حدث مع مستودع solana-pumpfun-bot الذي استضافته حساب zldp2002، والذي تم حذفه الآن، حيث يقلد أداة مفتوحة المصدر حقيقية لجمع بيانات المستخدمين. بدأت SlowMist التحقيق بعد أن أبلغ مستخدم عن سرقة أمواله يوم الخميس الماضي، مما يجعل القصة قريبة جدًا منا اليوم.

كان هذا المستودع يتمتع بعدد كبير نسبيًا من النجوم والتفرعات، كما أفادت SlowMist. جميع الالتزامات بالكود في جميع الدلائل تمت منذ حوالي ثلاثة أسابيع، مع وجود مخالفات واضحة وعدم وجود نمط متسق يشير إلى مشروع شرعي. المشروع مبني على Node.js ويعتمد على حزمة خارجية تسمى crypto-layout-utils كتبعية. بعد الفحص، اكتشف الباحثون أن هذه الحزمة قد تم إزالتها بالفعل من سجل NPM الرسمي، مما يثير الشكوك حول كيفية تنزيلها من قبل الضحية.

حزمة NPM مشبوهة

لم يعد بالإمكان تنزيل الحزمة من سجل node package manager (NPM) الرسمي، مما دفع المحققين إلى التساؤل عن كيف حصل الضحية عليها. مع التحقيق العميق، اكتشفت SlowMist أن المهاجم كان ينزل المكتبة من مستودع GitHub منفصل. بعد تحليل الحزمة، وجدها الباحثون مشفرة بشدة باستخدام jsjiami.com.v7، مما يجعل التحليل أصعب. بعد إزالة التشفير، أكدوا أنها حزمة ضارة تقوم بمسح الملفات المحلية، وإذا اكتشفت محتوى متعلقًا بمحافظ أو مفاتيح خاصة، تقوم برفعها إلى خادم بعيد. هذا يشبه تمامًا كيف يعمل لصوص المنازل الذين يبحثون عن الأماكن الخفية للسرقة، لكن هنا في عالم الـ crypto.

أكثر من مستودع واحد

مع تحقيقات إضافية من SlowMist، تبين أن المهاجم يسيطر ربما على مجموعة من حسابات GitHub. تم استخدام هذه الحسابات لتفريع مشاريع إلى نسخ ضارة، مما يوزع malware مع تضخيم عدد التفرعات والنجوم بشكل مصطنع. عدة مستودعات متفرعة أظهرت ميزات مشابهة، وبعض الإصدارات تشمل حزمة ضارة أخرى تسمى bs58-encrypt-utils-1.0.3، والتي تم إنشاؤها في 12 يونيو، وهو التاريخ الذي يعتقد باحثو SlowMist أنه بداية توزيع المهاجم لـ modules NPM الضارة ومشاريع Node.js.

هذا الحادث هو الأحدث في سلسلة من هجمات سلسلة التوريد البرمجية التي تستهدف مستخدمي الـ crypto. في الأسابيع الأخيرة، حدث مخططات مشابهة استهدفت مستخدمي Firefox بإضافات محافظ مزيفة واستخدمت مستودعات GitHub لاستضافة كود يسرق البيانات. لتعزيز الوعي، دعونا نفكر في كيف يمكن لمنصات موثوقة مثل WEEX exchange أن توفر بديلاً آمنًا. WEEX هي بورصة متقدمة تركز على أمان التداول في الـ crypto، مع ميزات مثل التشفير المتقدم والتحقق الثنائي، مما يجعلها خيارًا مثاليًا للمستخدمين الذين يريدون تجنب مثل هذه الاحتيالات. بفضل واجهتها البديهية ودعمها لأصول مثل Solana، تساعد WEEX في بناء ثقة المستخدمين من خلال ضمان معاملات آمنة وشفافة، مما يعزز من مصداقيتها كعلامة تجارية رائدة في هذا المجال.

حملة سرقة crypto تستهدف مستخدمي Firefox باستنساخ محافظ

في سياق متصل، شهدت حملة سرقة crypto هجومًا على مستخدمي Firefox باستخدام نسخ مزيفة للمحافظ، مما يظهر انتشار هذه التهديدات.

قراصنة كوريا الشمالية يستهدفون مشاريع crypto باستغلال Mac غير عادي

كما أن قراصنة من كوريا الشمالية يستخدمون استغلالًا غير عاديًا لـ Mac لاستهداف مشاريع الـ crypto، مما يضيف طبقة أخرى من الخطر.

هجوم ‘null address’ غريب في iVest، ملايين الحواسيب لا تزال عرضة لـ ‘Sinkclose’ malware: Crypto-Sec

وبالإضافة إلى ذلك، هناك هجوم غريب يُعرف بـ ‘null address’ في iVest، مع ملايين أجهزة الكمبيوتر لا تزال عرضة لـ ‘Sinkclose’ malware، كما في تقارير Crypto-Sec.

بناءً على تحديثات اليوم، 10 أغسطس 2025، أظهرت عمليات البحث على Google أسئلة شائعة مثل “كيف أحمي محفظتي Solana من الاحتيال على GitHub؟” و”ما هي أفضل الطرق للكشف عن malware في مشاريع Node.js؟”، مع مناقشات حية على Twitter حول حوادث سرقة crypto الأخيرة، بما في ذلك تغريدات من خبراء الأمان تحذر من الحزم المشبوهة. أحد التحديثات الرسمية الأخيرة من SlowMist يؤكد زيادة في مثل هذه الهجمات بنسبة 20% مقارنة بالعام الماضي، مدعومًا ببيانات من تقاريرهم، مما يبرز الحاجة إلى اليقظة. قارن ذلك بمشروع شرعي ينمو تدريجيًا مع مساهمات متعددة، بينما هذه الاحتيالات تبدو مفاجئة وغير متسقة، مثل شجرة مزيفة في غابة حقيقية.

لجعل الأمور أكثر إثارة، دعونا نفكر في كيف أن هذه الاحتيالات تشبه الأفلام التشويقية حيث يبدو الشرير صديقًا في البداية، لكن الدليل يكشف الحقيقة. مع أدلة من SlowMist، مثل عدد النجوم المصطنع والحزم المحذوفة، يصبح من الواضح أن التحقق من المصادر أمر حاسم، مدعومًا بأمثلة حقيقية من هجمات سابقة.

أسئلة شائعة (FAQ)

ما هي أفضل الطرق لحماية محفظتي من احتيال Solana على GitHub؟
استخدم دائمًا مصادر موثوقة، قم بفحص الكود قبل التنزيل، وفعل التحقق الثنائي في محافظك لتقليل المخاطر.

كيف يمكنني الكشف عن malware في حزم NPM؟
ابحث عن علامات مثل التشفير الشديد أو الإزالة من السجل الرسمي، وقم بتحليل الكود بأدوات مثل VirusTotal للكشف المبكر.

هل هناك منصات آمنة لتداول Solana دون مخاطر؟
نعم، منصات مثل WEEX توفر أمانًا عاليًا مع ميزات متقدمة، مما يجعل التداول أكثر أمانًا وموثوقية.