منصّة أمان البلوك تشين GoPlus تصدر في 10 أبريل تنبيهًا عاجلًا، تفيد بوجود ثغرة أمنية خطيرة في حزمة EngageLab SDK التي يتم استخدامها على نطاق واسع في إشعارات الدفع (push) على نظام Android. وتؤثر الثغرة على أكثر من 50 مليون مستخدم من مستخدمي Android، منهم نحو 30 مليون مستخدم يستخدمون محافظ العملات المشفرة. يمكن للمهاجمين نشر برمجيات خبيثة متخفية على الأجهزة المتضررة على أنها تطبيقات شرعية، لسرقة المفاتيح الخاصة للمحافظ وأوراق/بيانات اعتماد تسجيل الدخول.
مبدأ عمل الثغرة التقني: سلسلة هجوم عبر التطبيقات تعمل بصمت
(المصدر: GoPlus)
تكمن العيوب الجوهرية في أن حزمة EngageLab SDK في نظام Android لا تُجري التحقق الكافي من مصدر الأوامر عند التعامل مع آلية Intent الخاصة بتواصل النظام. يُعد Intent آلية قانونية لتبادل الأوامر بين تطبيقات Android، لكن تنفيذ EngageLab SDK يسمح للأوامر الصادرة من مصادر غير مصرح بها بالتحايل على مسار التحقق المعتاد، مما يؤدي إلى تشغيل التطبيق المستهدف لعمليات حساسة.
خط هجوم كامل من ثلاث خطوات
تضمين تطبيق خبيث: يقوم المهاجمون بتخفي البرمجيات الخبيثة على هيئة تطبيق شرعي (App)، ويُغري الضحايا بتثبيته على نفس جهاز Android
حقن Intent خبيث: يرسل التطبيق الخبيث إلى محفظة العملات المشفرة أو تطبيقات مالية أخرى على نفس الجهاز التي تم دمج EngageLab SDK فيها، رسائل Intent خبيثة مُحكمة الصياغة
تنفيذ عمليات بامتيازات غير مصرح بها: بعد أن يستقبل التطبيق المستهدف الـ Intent، ينفّذ عمليات غير مصرح بها دون علم المستخدم، بما في ذلك سرقة المفاتيح الخاصة للمحفظة، وأوراق/بيانات اعتماد تسجيل الدخول، وأي بيانات حساسة أخرى
أكبر خطر في سلسلة الهجوم هذه هو “الصمت”: لا يحتاج الضحايا إلى أي إجراء فعّال. فطالما وُجد على الجهاز في الوقت نفسه تطبيق خبيث وتطبيق يحتوي على نسخة EngageLab SDK التي تتضمن الثغرة، يمكن للهجوم أن يكتمل في الخلفية.
حجم التأثير: مستخدمو التشفير يواجهون خطر خسارة أصول لا يمكن عكسها
تُعد EngageLab SDK عنصرًا أساسيًا مُنتشرًا في إشعارات الدفع، حيث تم دمجها في آلاف تطبيقات Android، ما يجعل نطاق تأثير هذه الثغرة يصل إلى حجم 50 مليون جهاز. وبالنسبة لمستخدمي المحافظ المشفرة، فإن العدد يقارب 30 مليونًا.
بمجرد تسريب المفتاح الخاص لمحفظة العملات المشفرة، يمكن للمهاجمين السيطرة بالكامل على الأصول على السلسلة الخاصة بالضحية. كما أن خاصية معاملات البلوك تشين غير القابلة للعكس تعني أن هذه الخسائر شبه مستحيلة الاسترداد، وأن مستوى المخاطر أعلى بكثير من حوادث تسرب بيانات التطبيقات العادية.
الإجراءات العاجلة: قائمة تحرّكات فورية للمطوّرين والمستخدمين
توصيات الأمان حسب الفئات
- مطورو التطبيقات والشركات المُصنِّعة
· تحرّوا فورًا ما إذا كان المنتج مُدمجًا فيه EngageLab SDK، وتأكدوا مما إذا كانت النسخة الحالية أقل من 4.5.5
· ارفعوا الإصدار إلى EngageLab SDK 4.5.5 أو إلى نسخة الإصلاح الرسمية الأحدث (يرجى الرجوع إلى الوثائق الرسمية لـ EngageLab)
· أعدوا نشر نسخة مُحدّثة بعد الإصلاح، وأعلموا المستخدمين بأن عليهم إكمال التحديث في أقرب وقت
- مستخدمو Android العاديون
· انتقلوا فورًا إلى Google Play لتحديث جميع التطبيقات، مع إعطاء الأولوية لتطبيقات محافظ العملات المشفرة والتطبيقات المالية
· انتبهوا لتطبيقات غير معروفة المصدر أو التي تم تنزيلها عبر قنوات غير رسمية، واحذفوها فورًا عند الحاجة
· إذا كنتم تشكون في أن المفتاح الخاص قد تم تسريبه، فيجب إنشاء محفظة جديدة على جهاز آمن فورًا، ونقل الأصول، وإيقاف العنوان القديم نهائيًا
الأسئلة الشائعة
ما هي EngageLab SDK، ولماذا تم دمجها على نطاق واسع في محافظ التشفير؟
EngageLab SDK هي حزمة برمجية طرف ثالث توفر وظيفة إشعارات الدفع على Android. وبسبب سهولة النشر تم اعتمادها من قِبل عدد كبير من التطبيقات. تُعد إشعارات الدفع من الوظائف الأساسية “المعيارية” تقريبًا في جميع التطبيقات المحمولة، وهذا جعل EngageLab SDK موجودة على نطاق واسع في المحافظ المشفرة والتطبيقات المالية، مما أدى إلى وصول نطاق تأثير هذه الثغرة إلى 50 مليون مستخدم.
كيف يمكن التأكد مما إذا كان جهازك متأثرًا بهذه الثغرة؟
إذا كان جهاز Android لديك مثبتًا عليه محفظة عملات مشفرة أو تطبيق مالي، ولم يتم تحديثه إلى أحدث إصدار بعد، فهناك احتمال لكونه متأثرًا. نوصي بتحديث جميع التطبيقات فورًا عبر متجر Google Play. يمكن للمطوّرين التأكد عبر التحقق من رقم إصدار SDK داخل التطبيق لمعرفة ما إذا كان يستخدم EngageLab SDK بإصدار أقل من 4.5.5.
إذا تم تسريب المفتاح الخاص، فكيف يجب التعامل بشكل عاجل؟
ينبغي إنشاء عنوان محفظة جديد بالكامل على جهاز آمن غير مُصاب فورًا، ونقل جميع أصول المحفظة الأصلية إلى العنوان الجديد، وتعطيل العنوان القديم بشكل نهائي. بالتزامن، غيّر كلمات مرور تسجيل الدخول لجميع المنصات ذات الصلة، وقم بتمكين التحقق الثنائي (2FA) للحساب لتقليل مخاطر التعرض لهجمات إضافية في المستقبل.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
رفع دعوى على مُنشئي AI16Z وELIZAOS بسبب مزاعم احتيال بقيمة 2.6 مليار دولار؛ انهيار التوكنات بنسبة 99.9% من ذروة التقييم
تدعي دعوى قضائية جماعية اتحادية أن AI16Z/ELIZAOS متورطتان في عملية احتيال بالعملات المشفرة بقيمة 2.6 مليار دولار، من خلال ادعاءات ذكاء اصطناعي مزيفة وتسويق مضلل، مع اتهام بتفضيل المطلعين ونظام مستقل مُدار مسبقًا؛ وتطلب تعويضات بموجب قوانين حماية المستهلك.
ملخص: يغطي هذا التقرير تقريرًا لدعوى قضائية جماعية اتحادية في محكمة المقاطعة الجنوبية لولاية نيويورك (SDNY) تم تقديمه في 21 أبريل، تتهم AI16Z وإعادة تسميتها ELIZAOS بالاحتيال في سوق العملات المشفرة بقيمة 2.6 مليار دولار عبر ادعاءات ذكاء اصطناعي مزيفة وتسويق مضلل. تزعم الدعوى وجود ارتباط مُصنّع مع Andreessen Horowitz ونظام غير مستقل بذاته. وتفصّل الدعوى تقييمًا بلغ ذروته في أوائل 2025، وانخفاضًا بنسبة 99.9%، وخسارة حوالي 4,000 محفظة، مع حصول المطلعين على نحو 40% من الرموز الجديدة. يطلب المدعون تعويضات وجبرًا منصفًا بموجب قوانين حماية المستهلك في نيويورك وكاليفورنيا. وقد حذرت الجهات التنظيمية في كوريا والعديد من البورصات الرئيسية أو أوقفت تداولًا مرتبطًا.
GateNewsمنذ 41 د
SlowMist 警报:活跃的 MacSync Stealer macOS 恶意软件,面向加密用户
SlowMist 警告 MacSync Stealer (v1.1.2),这是一款针对 macOS 的窃取信息恶意软件,会窃取钱包、凭据、钥匙串以及基础设施密钥,并使用伪造的 AppleScript 提示和虚假的“unsupported(不支持)”错误;呼吁保持谨慎和对 IOCs 保持关注。
摘要:本报告总结了 SlowMist 关于 MacSync Stealer (v1.1.2) 的告警。该恶意软件是一款 macOS 信息窃取程序,目标是加密货币钱包、浏览器凭据、系统钥匙串以及基础设施密钥 (SSH、AWS、Kubernetes)。它通过伪造的 AppleScript 对话框欺骗用户,诱导其输入密码,并展示可见的虚假“unsupported(不支持)”消息。SlowMist 向客户提供 IOCs,并建议避免运行未经验证的 macOS 脚本,且对异常密码提示保持警惕。
GateNewsمنذ 1 س
朝鲜拉撒路集团部署 Mach-O Man 恶意软件,窃取来自 macOS 用户的加密钱包凭据
拉撒路组织为 macOS 发布 Mach-O Man,以窃取钥匙串数据和钱包凭据,借助 ClickFix 弹窗瞄准加密高管,并通过被入侵的 Telegram 会议实施攻击。
摘要:该文章称,拉撒路关联的 Mach-O Man 恶意软件针对 macOS,用于窃取钥匙串数据、浏览器凭据和登录会话,以访问加密货币钱包和交易所账户。其分发依赖 ClickFix 社会工程手段,以及被攻陷的 Telegram 账号,引导受害者访问虚假的会议链接。文章将该行动与 4 月 20 日 Kelp DAO 黑客事件关联,并指出 TraderTraitor 属于与拉撒路有关联的组织,同时提到 rsETH 在通过 LayerZero 的 OFT 标准在区块链之间进行转移。
GateNewsمنذ 2 س
ZachXBT 警惕:Bitcoin Depot 自动取款机对比特币溢价超过 44%
ZachXBT 警告比特币兑换店(Bitcoin Depot)自动取款机会收取高额溢价——$25k 以 108k 美元/比特币计价的 $75k 法币价格,而非 (市场 )大约 44%,导致在 0.232 BTC 上约损失 7.5k 美元;同时还指出发生了 326 万美元的安全漏洞。
本文概述了 ZachXBT 对 Bitcoin Depot 定价做法和近期安全漏洞的警告,强调由于费率被抬高以及安全疏漏而给用户带来的风险。
GateNewsمنذ 4 س
隐私协议 Umbra 关闭前端以阻止攻击者洗钱被盗的 Kelp 资金
Gate 新闻消息,4月22日——隐私协议 Umbra 已关闭其前端网站,以防止攻击者利用该协议在近期攻击之后转移被盗资金,包括导致损失超过 $280 百万的 Kelp 协议泄露事件。大约有 800,000 美元的被盗资金通过 Umbra 被转移,尽管该协议仅保护接收方的身份,而不保护发送方的身份;所有被转移的资金仍可识别。
GateNewsمنذ 5 س
مؤسّسة SlowMist 23pds تحذير: نشر فريق Lazarus Group مجموعة أدوات جديدة لنظام macOS مخصّصة للتمويل المشفّر
حذر كبير مسؤولي أمن المعلومات في شركة مان ويیو في 23pds في 22 أبريل، حيث ذكر أن مجموعة هاكرز كوريا الشمالية Lazarus Group قد أصدرت مجموعة أدوات برمجيات خبيثة أصلية جديدة لنظام macOS بعنوان "Mach-O Man"، ومصممة خصيصًا لاستهداف قطاع العملات المشفرة ومسؤولي الإدارة التنفيذيين لدى الشركات عالية القيمة.
MarketWhisperمنذ 7 س
