تحليل حادثة سرقة أصول مستخدمي Solana

في 2 يوليو 2025، طلب مستخدم المساعدة من فريق أمان معين، حيث ذكر أنه تعرض لسرقة الأصول المشفرة بعد استخدامه لمشروع مفتوح المصدر على GitHub "solana-pumpfun-bot". بدأت فريق الأمان على الفور التحقيق.

أظهرت التحقيقات أن هناك عدة علامات شاذة في مشروع GitHub هذا. أولاً، تم تقديم كود المشروع بشكل مركز قبل ثلاثة أسابيع، مما يدل على نقص في التحديثات المستمرة. ثانياً، تحتوي الاعتماديات الخاصة بالمشروع على حزمة طرف ثالث مشبوهة "crypto-layout-utils"، والتي تم سحبها من قبل NPM، كما أن النسخة المحددة لم تظهر في السجل الرسمي.

أظهرت التحليلات الإضافية أن المهاجمين استبدلوا رابط تحميل "crypto-layout-utils" في ملف package-lock.json، مما يشير إلى حزمة إصدار من مستودع GitHub. كانت الحزمة مشوشة للغاية، وبعد فك تشويشها، تم التأكد من أنها كود خبيث. ستقوم الحزمة الخبيثة بمسح ملفات الكمبيوتر الخاصة بالمستخدم بحثًا عن محتوى متعلق بالمحافظ أو المفاتيح الخاصة، ثم ترفعها إلى الخادم الذي يتحكم فيه المهاجم.

من الممكن أن المهاجمين قد سيطروا أيضًا على مجموعة من حسابات GitHub، لاستخدامها في Fork مشاريع خبيثة وزيادة عدد النجوم، لزيادة مصداقية المشروع وتوسيع نطاق انتشاره. بعض مشاريع Fork استخدمت حزمة خبيثة أخرى "bs58-encrypt-utils-1.0.3".

من خلال أدوات التحليل على السلسلة، تم اكتشاف أن بعض الأموال المسروقة قد تم تحويلها إلى منصة تداول معينة.

هذا الهجوم تم عن طريق التظاهر بمشاريع مفتوحة المصدر شرعية، مما أدى إلى إغراء المستخدمين بتنزيل وتشغيل مشاريع Node.js التي تحتوي على تبعيات ضارة، مما أدى إلى تسرب المفاتيح الخاصة وسرقة الأصول. تجمع أساليب الهجوم بين الهندسة الاجتماعية والأساليب التقنية، مما يجعلها ذات قدرة عالية على الخداع والانتشار.

ينبغي على المطورين والمستخدمين توخي الحذر الشديد تجاه مشاريع GitHub غير المعروفة، خاصة تلك التي تتعلق بمحافظ أو عمليات المفاتيح الخاصة. إذا كان من الضروري إجراء تصحيح، يجب القيام بذلك في بيئة مستقلة وخالية من البيانات الحساسة.

تتعلق هذه الحادثة بعدة مستودعات GitHub الضارة وحزم NPM، كما استغل المهاجمون خوادم التحكم لاستقبال البيانات المسروقة. يجب على المستخدمين توخي الحذر عند استخدام المشاريع مفتوحة المصدر، وضمان أمان البيئة، لتجنب هجمات مماثلة.