استجابةً لموجة متزايدة من الهجمات الإلكترونية التي تستهدف مجتمع العملة المشفرة ، أطلقت ممثلي التهديدات سلسلة توريد برمجيات متطورة تهدف إلى التنازل عن محافظ Web3 المستخدمة على نطاق واسع ، بما في ذلك المحفظة الذرية والخروج.
وفقًا للباحثين في ResperingLabs (RL) ، تركز الحملة الضارة على مدير حزمة NPM ، وهي منصة شهيرة لمطوري JavaScript و Node.js. يقوم المهاجمون بتثبيت حزمة خادعة تسمى PDF إلى المكتب ، والتي يتم ترقيتها كذباً كأداة لتحويل ملفات PDF إلى تنسيقات Microsoft Office. بدلاً من ذلك ، تحمل الحزمة رمزًا ضارًا مصممًا لاختطاف عمليات التثبيت المحلية لبرامج محفظة التشفير المشروعة.
بمجرد تنفيذها ، يقوم جناح PDF-tofice بإصدار بقع خبيثة بصمت في إصدارات مثبتة محليًا من المحفظة الذرية والخروج. تحل هذه التصحيحات محل الكود الشرعي بإصدار معدّل يتيح للمهاجمين اعتراض معاملات العملة المشفرة وإعادة توجيهها. في الممارسة العملية ، سيجد المستخدمون الذين يحاولون إرسال الأموال أن معاملاتهم تم إعادة توجيهها إلى محفظة يسيطر عليها المهاجمون ، مع عدم وجود علامات مرئية للعبث.
استغل الهجوم تقنية خفية وشعبية بشكل متزايد: بدلاً من الاختطاف مباشرةً على حزم المنبع المفتوح المصدر ، حقن الممثلون الخبيثون الآن الكود الضار في البيئات المحلية من خلال تصحيح البرامج المشروعة المثبتة بالفعل على نظام الضحية.
ظهرت حزمة PDF-to-Office لأول مرة على NPM في مارس 2025 ولديها إصدارات متعددة تم إصدارها على التوالي. تم إصدار أحدث إصدار ، 1.1.2 ، في 1 أبريل. اكتشف باحثو RL الحزمة باستخدام التحليل السلوكي القائم على التعلم الآلي على منصة الأطياف. تم العثور على الرمز يحتوي على JavaScript المشتركة ، وهو علامة حمراء مشتركة في حملات البرامج الضارة NPM الأخيرة.
والجدير بالذكر أن الآثار استمرت حتى بعد حذف الحزمة الضارة. بمجرد تصحيح محافظ Web3 ، فإن إزالة حزمة NPM المزيفة لم تقم بإلغاء التهديد. كان على الضحايا إلغاء تثبيت تطبيق محفظتهم وإعادة تثبيته لإزالة مكونات طروادة واستعادة سلامة المحفظة.
*هذه ليست نصيحة استثمار.
