بوتات التداول النسخي Polymarket تم ضبطها وهي توزع رمزًا خبيثًا يستهدف المفاتيح الخاصة

باحثو الأمن في شركة SlowMist Technology أصدروا تنبيهًا حاسمًا بشأن تهديد خطير ي lurking في تطبيقات التداول المرتبطة بـ Polymarket. وفقًا لتقارير من أواخر ديسمبر 2024، قام مطور بإنشاء برنامج بوت تداول نسخي يحتوي على رمز خبيث مخفي مصمم لاختراق أمان محافظ المستخدمين. يسلط هذا الحادث الضوء على اتجاه متزايد من هجمات سلسلة التوريد داخل نظام العملات المشفرة.

كيف تعمل الهجمة: حقن الكود عبر GitHub

تبدأ الهجمة من المكان الذي يعمل فيه المطورون عادةً — على GitHub، حيث يتم مشاركة مستودعات الكود بشكل مفتوح. تم دمج الكود الخبيث عمدًا في كود مصدر بوت التداول النسخي الخاص بـ Polymarket، مخفيًا بين الوظائف الشرعية. ما يجعل هذا الأمر خطيرًا بشكل خاص هو منهجية المهاجم: تم نشر المكونات الخبيثة عبر عدة التزامات (commits) للكود، مما يصعب على مدققي الأمان والمراجعين العاديين اكتشافها.

عند التنفيذ، يقوم البرنامج المخترق بأداء إجراء يبدو بريئًا — يقرأ ملف “.env” الخاص بالمستخدم، وهو ملف تكوين يُستخدم عادةً في بيئات التطوير لتخزين بيانات اعتماد حساسة، بما في ذلك مفاتيح المحافظ الخاصة. ومع ذلك، بدلاً من مجرد الوصول إلى البيانات المحلية، ينقل البرنامج على الفور هذه البيانات إلى خوادم خارجية يسيطر عليها المهاجم، مما يسرق المفاتيح الخاصة التي تمنح الوصول الكامل إلى أصول المستخدم الرقمية.

سرقة المفاتيح الخاصة عبر استغلال ملف التكوين

يستغل هذا المسار الهجومي افتراض الثقة الأساسي في مجتمع المطورين: أن مستودعات الكود آمنة وأن المشاريع المفتوحة المصدر التي يتم تنزيلها لن تحتوي على تهديدات مخفية عمدًا. استراتيجيات المهاجم التي تتضمن تعديل وإعادة الالتزام بالكود بشكل مستمر على GitHub خدمت هدفين — لم تجعل الحمولة الخبيثة أسهل في اكتشافها خلال مراجعة واحدة للكود، بل أنشأت أيضًا “إصدارات” متعددة من التهديد يمكن أن تتجنب أدوات التحليل الثابت.

استغلال ملف .env خطير بشكل خاص لأن العديد من المطورين يخزنون فيه بيانات اعتمادهم الأكثر حساسية، معتبرين إياه إجراء أمني محلي لا يتطلب تشفيرًا. لم يكن لدى المستخدمين الذين قاموا بتنزيل البرنامج أي مؤشر على أن تشغيله قد يعرض مفاتيحهم الخاصة للخطر من قبل مهاجمين عن بعد.

تنبيه أمني من SlowMist: تحذير من التهديدات المتكررة

أكّد ، كبير مسؤولي أمن المعلومات في SlowMist Technology، على هذا التحذير الأمني للمجتمع الأوسع، مؤكدًا أن هذا الحادث يتبع نمطًا مقلقًا. تصريحه، “هذه ليست المرة الأولى، ولن تكون الأخيرة”، يبرز أن هجمات سلسلة التوريد وحقن الكود الخبيث أصبحت تهديدات منهجية وليست حوادث معزولة.

تدخل SlowMist مهم لأنه أصبح صوتًا موثوقًا في أمن العملات المشفرة، حيث يحدد بانتظام الثغرات والتهديدات التي قد تمر دون اكتشاف. استعداد المنظمة لنشر هذا التهديد يدل على مدى خطورة الحملة البرمجية الخبيثة التي يقيّمونها.

كيف تحمي محفظتك من البوتات والكود الخبيث

الاستنتاج واضح: تنزيل وتنفيذ بوتات التداول، السكربتات الآلية، أو أي أدوات من طرف ثالث يتطلب تقييمًا دقيقًا. ينبغي للمستخدمين اعتماد ممارسات دفاعية عدة:

• مراجعة الكود المصدر بدقة قبل التشغيل، أو استشارة مطورين ذوي خبرة يمكنهم تدقيق الكود للبحث عن تهديدات مخفية
• عدم تخزين المفاتيح الخاصة أو عبارات الاسترداد في ملفات .env أو أي ملفات محلية غير مشفرة
• استخدام محافظ الأجهزة أو أنظمة معزولة (air-gapped) لتخزين الأصول على المدى الطويل، لتقليل التعرض للبرامج المخترقة
• مراقبة نشاط المحفظة بانتظام للبحث عن معاملات غير مصرح بها قد تشير إلى اختراق سابق للمفاتيح
• التشكيك في حلول النسخ الاحتياطي التي تتطلب الوصول إلى المفاتيح الخاصة أو عبارات الاسترداد — الأدوات الشرعية عادةً تستخدم مفاتيح API ذات صلاحيات محدودة

قدرة المجتمع الأمني على التعرف على الكود الخبيث وتحذير المستخدمين منه تظل آلية دفاع حاسمة، لكن في النهاية، تبقى اليقظة الفردية وممارسات تقييم البرمجيات الحذرة هي الحصن المنيع ضد هذه التهديدات المتطورة.