تحليل حادثة سرقة المفاتيح الخاصة لمستخدمي Solana: الحزمة الخبيثة NPM تسرق المفتاح الخاص

في 2 يوليو 2025، طلب أحد المستخدمين المساعدة من فريق الأمان، آملاً في تحليل سبب سرقة أصوله المشفرة. بعد التحقيق، تبين أن الحادث ناتج عن استخدام هذا المستخدم لمشروع مفتوح المصدر يتم استضافته على GitHub يُدعى solana-pumpfun-bot.

بدأ فريق الأمان التحقيق على الفور. بعد زيارة مستودع GitHub الخاص بالمشروع، تبين أن المشروع على الرغم من ارتفاع عدد النجوم والفورك، إلا أن توقيت تقديم الشيفرة مركّز بشكل غير عادي، ويفتقر إلى ميزات التحديث المستمر.

أظهر التحليل الإضافي أن مشروع Node.js هذا يستعين بحزمة خارجية مشبوهة تُسمى crypto-layout-utils. تم إزالة هذه الحزمة من قبل الجهات الرسمية، والإصدار المحدد في package.json لم يظهر في السجل الرسمي لـ NPM.

في ملف package-lock.json، اكتشف الباحثون أن المهاجمين استبدلوا رابط تحميل crypto-layout-utils بعنوان تحميل إصدار من مستودع GitHub. بعد تحميل وتحليل هذه الحزمة المعتمدة الملتبسة للغاية، تم التأكيد على أنها حزمة NPM خبيثة.

ستقوم الحزمة الضارة بمسح ملفات الكمبيوتر للمستخدم، وإذا اكتشفت محتوى متعلق بالمحفظة أو المفتاح الخاص، فستقوم بتحميله إلى خادم يتحكم فيه المهاجم. قد يكون المهاجم أيضًا قد سيطر على عدة حسابات GitHub، لتوزيع البرامج الضارة وزيادة مصداقية المشروع.

بخلاف crypto-layout-utils، تم اكتشاف حزمة خبيثة أخرى تُدعى bs58-encrypt-utils. بدأت هذه الحزم الخبيثة في التوزيع منذ منتصف يونيو 2025، ثم استمرت في الانتشار من خلال تغيير روابط تنزيل حزم NPM.

من خلال أدوات التحليل على السلسلة، تم تتبع اكتشاف أن جزءًا من الأموال المسروقة قد تم تحويله إلى منصة تداول معينة.

حدث هذا الهجوم من خلال التظاهر بمشاريع مفتوحة المصدر شرعية، مما يحفز المستخدمين على تنزيل وتشغيل التعليمات البرمجية التي تحتوي على تبعيات خبيثة، وبالتالي سرقة المفتاح الخاص للمحفظة. استغل المهاجمون عدة حسابات على GitHub للعمل بشكل متعاون، مما زاد من نطاق الانتشار وزاد من المصداقية، مما يجعله خداعًا قويًا.

ينبغي على المطورين والمستخدمين توخي الحذر الشديد تجاه مشاريع GitHub غير المعروفة، خاصة عندما يتعلق الأمر بمحافظ أو المفتاح الخاص. إذا كان من الضروري إجراء تصحيح، من الأفضل القيام بذلك في بيئة مستقلة وخالية من البيانات الحساسة.