في أوائل يوليو 2025، طلب أحد المستخدمين المساعدة من فريق الأمان، حيث أبلغ عن سرقة أصوله المشفرة. وكشفت التحقيقات أن الحادث ناتج عن استخدام هذا المستخدم لمشروع مفتوح المصدر مستضاف على GitHub، مما أدى إلى تفعيل سلوك سرقة خفي. مؤخرًا، تعرض مستخدمون آخرون للسرقة بسبب استخدام مشاريع مفتوحة المصدر مشابهة. قام فريق الأمان بإجراء تحليل متعمق لذلك.
التحليل الثابت
تحليل يشير إلى أن الشيفرة المشبوهة تقع في ملف التكوين /src/common/config.rs، وتتركز بشكل رئيسي في دالة create_coingecko_proxy(). تقوم هذه الدالة أولاً باستدعاء import_wallet() للحصول على المفتاح الخاص، ثم تتحقق من طول المفتاح الخاص:
إذا كانت أقل من 85، اطبع رسالة خطأ وادخل في حلقة لا نهائية
إذا كانت أكبر من 85، قم بتحويل المفتاح الخاص إلى كائن Keypair وتغليفه
ثم قامت الشيفرة الضارة بفك تشفير عنوان URL مشفر للحصول على العنوان الحقيقي:
كود لإنشاء عميل HTTP، تحويل المفتاح الخاص إلى سلسلة Base58، بناء جسم طلب JSON، من خلال طلب POST إرسال المفتاح الخاص إلى هذا العنوان URL. بغض النظر عن النتائج التي ترجعها الخادم، سيستمر الكود الخبيث في التنفيذ لتجنب الكشف.
تتضمن طريقة create_coingecko_proxy() أيضًا الحصول على الأسعار وغيرها من الوظائف العادية للتغطية على السلوكيات الخبيثة. ويتم استدعاء هذه الطريقة عند بدء تشغيل التطبيق، وتقع في مرحلة تهيئة ملف التكوين في main.rs.
تشير التحليلات إلى أن عنوان IP لخادم المهاجم يقع في الولايات المتحدة. تم تحديث المشروع مؤخرًا في ( بتاريخ 17 يوليو 2025، حيث تم تغيير الترميز الضار لعنوان URL في config.rs.
لرصد عملية السرقة بشكل بصري، قام الباحثون بكتابة سكربت لإنشاء أزواج مفاتيح Solana للاختبار، وقاموا بتجهيز خادم HTTP لاستقبال طلبات POST. تم استبدال عنوان الخادم التجريبي بعنوان خبيث الأصلي، وتم استبدال المفتاح الخاص في ملف .env بالمفتاح الخاص للاختبار.
![عودة بوتات ضارة في نظام Solana: ملف الإعدادات يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
بعد تشغيل الشيفرة الضارة، تمكنت خوادم الاختبار من استلام بيانات JSON تحتوي على معلومات المفتاح الخاص.
![تظهر بيئة Solana مرة أخرى بوتات خبيثة: ملف الإعدادات يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
ملخص
المهاجمون يقومون بتزييف مشاريع مفتوحة المصدر الشرعية لتحفيز المستخدمين على تنفيذ أكواد خبيثة. يقوم الكود بقراءة المعلومات الحساسة من الجهاز المحلي ونقلها إلى خادم المهاجم. وغالبًا ما يتم تنفيذ هذا النوع من الهجمات بالاشتراك مع أساليب الهندسة الاجتماعية.
ينبغي على المطورين والمستخدمين توخي الحذر بشأن مشاريع GitHub غير المعروفة المصدر، خاصة عند التعامل مع محافظ أو المفتاح الخاص. إذا كان من الضروري إجراء تصحيح، يجب القيام بذلك في بيئة معزولة، وتجنب تشغيل البرامج والأوامر غير المعروفة المصدر.
![ظهور بوتات خبيثة في نظام Solana البيئي: ملف الإعدادات يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 10
أعجبني
10
4
إعادة النشر
مشاركة
تعليق
0/400
DaoDeveloper
· 07-28 10:34
سأقوم بتدقيق كل التزام مفتوح المصدر كالصقر بعد هذا... لقد كنت هناك، وخسرت 3 سول بسبب استغلال مشابه الشهر الماضي
تهديدات خفية تظهر مجددًا في نظام Solana البيئي: مشروع GitHub يخفي شفرة سرقة المفتاح الخاص
Solana生态再现恶意 بوتات:配置文件暗藏 المفتاح الخاص窃取
في أوائل يوليو 2025، طلب أحد المستخدمين المساعدة من فريق الأمان، حيث أبلغ عن سرقة أصوله المشفرة. وكشفت التحقيقات أن الحادث ناتج عن استخدام هذا المستخدم لمشروع مفتوح المصدر مستضاف على GitHub، مما أدى إلى تفعيل سلوك سرقة خفي. مؤخرًا، تعرض مستخدمون آخرون للسرقة بسبب استخدام مشاريع مفتوحة المصدر مشابهة. قام فريق الأمان بإجراء تحليل متعمق لذلك.
التحليل الثابت
تحليل يشير إلى أن الشيفرة المشبوهة تقع في ملف التكوين /src/common/config.rs، وتتركز بشكل رئيسي في دالة create_coingecko_proxy(). تقوم هذه الدالة أولاً باستدعاء import_wallet() للحصول على المفتاح الخاص، ثم تتحقق من طول المفتاح الخاص:
! الاستنساخ البيئي ل Solana للروبوتات الضارة: ملف التكوين مصيدة المفتاح الخاص المخفي
ثم قامت الشيفرة الضارة بفك تشفير عنوان URL مشفر للحصول على العنوان الحقيقي:
كود لإنشاء عميل HTTP، تحويل المفتاح الخاص إلى سلسلة Base58، بناء جسم طلب JSON، من خلال طلب POST إرسال المفتاح الخاص إلى هذا العنوان URL. بغض النظر عن النتائج التي ترجعها الخادم، سيستمر الكود الخبيث في التنفيذ لتجنب الكشف.
تتضمن طريقة create_coingecko_proxy() أيضًا الحصول على الأسعار وغيرها من الوظائف العادية للتغطية على السلوكيات الخبيثة. ويتم استدعاء هذه الطريقة عند بدء تشغيل التطبيق، وتقع في مرحلة تهيئة ملف التكوين في main.rs.
تشير التحليلات إلى أن عنوان IP لخادم المهاجم يقع في الولايات المتحدة. تم تحديث المشروع مؤخرًا في ( بتاريخ 17 يوليو 2025، حيث تم تغيير الترميز الضار لعنوان URL في config.rs.
![تظهر بيئة Solana بوتات خبيثة: ملف التعريف يخفي فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
التحليل الديناميكي
لرصد عملية السرقة بشكل بصري، قام الباحثون بكتابة سكربت لإنشاء أزواج مفاتيح Solana للاختبار، وقاموا بتجهيز خادم HTTP لاستقبال طلبات POST. تم استبدال عنوان الخادم التجريبي بعنوان خبيث الأصلي، وتم استبدال المفتاح الخاص في ملف .env بالمفتاح الخاص للاختبار.
![عودة بوتات ضارة في نظام Solana: ملف الإعدادات يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
بعد تشغيل الشيفرة الضارة، تمكنت خوادم الاختبار من استلام بيانات JSON تحتوي على معلومات المفتاح الخاص.
![تظهر بيئة Solana مرة أخرى بوتات خبيثة: ملف الإعدادات يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
ملخص
المهاجمون يقومون بتزييف مشاريع مفتوحة المصدر الشرعية لتحفيز المستخدمين على تنفيذ أكواد خبيثة. يقوم الكود بقراءة المعلومات الحساسة من الجهاز المحلي ونقلها إلى خادم المهاجم. وغالبًا ما يتم تنفيذ هذا النوع من الهجمات بالاشتراك مع أساليب الهندسة الاجتماعية.
ينبغي على المطورين والمستخدمين توخي الحذر بشأن مشاريع GitHub غير المعروفة المصدر، خاصة عند التعامل مع محافظ أو المفتاح الخاص. إذا كان من الضروري إجراء تصحيح، يجب القيام بذلك في بيئة معزولة، وتجنب تشغيل البرامج والأوامر غير المعروفة المصدر.
![ظهور بوتات خبيثة في نظام Solana البيئي: ملف الإعدادات يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(