- الموضوع
5k درجة الشعبية
7k درجة الشعبية
4k درجة الشعبية
30k درجة الشعبية
496 درجة الشعبية
96k درجة الشعبية
27k درجة الشعبية
27k درجة الشعبية
7k درجة الشعبية
15k درجة الشعبية
- تثبيت
5k درجة الشعبية
7k درجة الشعبية
4k درجة الشعبية
30k درجة الشعبية
496 درجة الشعبية
96k درجة الشعبية
27k درجة الشعبية
27k درجة الشعبية
7k درجة الشعبية
15k درجة الشعبية
تحذير: تم اكتشاف فيروس جديد يفرغ عملات الرقمية المحفظة! إليك البرنامج المجرم وما يجب القيام به
اكتشفت شركة الأمن السيبراني SlowMist أن المشروع مفتوح المصدر المسمى "solana-pumpfun-bot" الذي تم نشره على GitHub وأثار انتباه المجتمع يتضمن خطة احتيال تستهدف محافظ المستخدمين. وفقًا للمعلومات التي قدمتها الشركة، تم سرقة العملات المشفرة من محافظ المستخدمين الذين يشغلون المشروع، وتم تحويل جزء من الأموال إلى المنصة المسماة FixedFloat.
ظهرت القضية عندما تقدمت مستخدم ضحية إلى فريق SlowMist في 2 يوليو 2025. وفقًا لبيان المستخدم، تم سرقة العملات المشفرة من محفظته بعد يوم واحد من بدء استخدام مشروع "zldp2002/solana-pumpfun-bot" على GitHub.
في التحليل الذي أجرته SlowMist بعد الحادث، تم تحديد أن المشروع يعتمد على Node.js وأنه يعتمد على حزمة طرف ثالث مشبوهة تُدعى “crypto-layout-utils”. هذه الحزمة غير موجودة في السجلات الرسمية لـ NPM وتم إزالتها من المنصة. في الفحوصات التي أُجريت، تم تحديد أن المبرمجين الخبيثين قاموا بتغيير الرابط في ملف package-lock.json لتوجيه المستخدمين إلى تحميل برنامج ضار.
أوضح خبراء SlowMist أن حزمة "crypto-layout-utils-1.3.1" التي تم تنزيلها تحتوي على رموز معقدة ومخفية، وأن هذه الرموز بعد تحليلها تقوم بمسح الملفات التي تحتوي على المحفظة والمفتاح الخاص على جهاز المستخدم، وترسل هذه البيانات إلى خادم تابع للمهاجم يحمل اسم "githubshadow.xyz".
أفيد أيضًا في التحليلات أن مستخدم GitHub الذي يُزعم أنه مطور المشروع المعني قد قام بالتحكم في عدد كبير من الحسابات الوهمية باستخدام (zldp2002)، وهدف من خلال هذه الحسابات إلى الوصول إلى مزيد من المستخدمين عن طريق إنشاء forks للمشروع. في بعض forks، تم استخدام حزمة NPM ضارة مختلفة تُسمى "bs58-encrypt-utils-1.0.3".
بعد الحادث، اكتشفت SlowMist من خلال أداة التحليل على السلسلة المسماة MistTrack أن المهاجمين قاموا بنقل جزء من العملات المشفرة المسروقة إلى منصة FixedFloat. يُعتقد أن هجوم البرمجيات الضارة نشط منذ 12 يونيو 2025.
قالت SlowMist إنه يجب على المستخدمين أن يكونوا حذرين للغاية تجاه البرامج التي تم تنزيلها من منصات الشفرات المفتوحة مثل GitHub، خاصةً في المشاريع التي تتضمن مفاتيح خاصة أو معاملات محفظة. تم اقتراح تشغيل مثل هذه المشاريع في حالات الضرورة على جهاز معزول لا يحتوي على بيانات حساسة.