برمجية TrapDoor الخبيثة تستهدف مطوري Aptos وSolana وSui عبر حزم مزيفة

كشف باحثون في الأمن السيبراني عن حملة برمجيات خبيثة جديدة تحمل اسم TrapDoor تستهدف مطوري العملات الرقمية عبر نشر حزم برمجية مزيفة داخل منصات البرمجة الشهيرة.

وركزت الحملة على بيئات التطوير المرتبطة بشبكات Aptos وSui وSolana، مع محاولات لسرقة مفاتيح المحافظ وبيانات الدخول الحساسة من أجهزة المطورين.

TrapDoor تستهدف مطوري البلوكشين

بحسب شركة Socket Security، تم اكتشاف أكثر من 34 حزمة خبيثة موزعة عبر منصات npm وPyPI وCrates.io.

وشملت الحملة أكثر من 384 إصدارًا مختلفًا من الحزم البرمجية التي صُممت لتبدو وكأنها أدوات تطوير شرعية مرتبطة بمشاريع البلوكشين والعملات الرقمية.

واعتمد المهاجمون على أسماء مشابهة لأدوات حقيقية بهدف خداع المطورين ودفعهم إلى تثبيت البرمجيات الخبيثة دون ملاحظة أي نشاط مشبوه.

ما الذي كانت البرمجية تبحث عنه؟

استهدفت البرمجيات الخبيثة مجموعة من البيانات الحساسة المخزنة داخل أجهزة المطورين، أبرزها:

مفاتيح SSH

بيانات AWS

رموز الوصول إلى GitHub

ملفات محافظ العملات الرقمية

قواعد بيانات تسجيل الدخول في المتصفحات

ويرى خبراء الأمن أن اختراق مثل هذه البيانات قد يمنح المهاجمين إمكانية الوصول إلى البنية التحتية الخاصة بمشاريع الكريبتو أو سرقة أصول رقمية مباشرة.

حزم مزيفة مرتبطة بـ Solana وSui

رصد الباحثون عدة حزم Rust مشبوهة على منصة Crates.io، من بينها:

sui-framework-helpers

move-analyzer-build

sui-move-build-helper

كما ظهرت حزم npm بأسماء مثل:

crypto-credential-scanner

wallet-security-checker

بينما تضمنت حزم Python أسماء مثل:

eth-security-auditor

defi-risk-scanner

واعتمدت البرمجيات على آليات تنفيذ تلقائي داخل أنظمة التطوير المختلفة، ما يسمح بتشغيل الأكواد الخبيثة أثناء التثبيت أو البناء دون علم المستخدم.

هجوم منظم وليس نشاطًا عشوائيًا

أكد الباحثون أن نمط رفع الحزم يشير إلى حملة منظمة ومنسقة بعناية.

وتم رصد أول حزمة خبيثة مساء يوم الجمعة على منصة PyPI، قبل أن تتبعها موجات رفع متزامنة عبر عدة حسابات ومنصات مختلفة.

وأشار التقرير إلى أن المهاجمين ركزوا بشكل واضح على أدوات مرتبطة بالبنية التحتية للكريبتو والتمويل اللامركزي والذكاء الاصطناعي، وهي بيئات غالبًا ما تحتوي على مفاتيح وصول وأصول رقمية ذات قيمة عالية.