التهديد $3B : كيف تستهدف برامج ضارة في مكتبات الترميز الآن عقود إيثريوم الذكية

يواجه نظام العملات الرقمية أزمة متصاعدة مع كشف شركة الأمن السيبراني ReversingLabs عن ثغرة هجوم متطورة: حيث يقوم المهاجمون بتسخير حزم NPM مفتوحة المصدر لحقن البرمجيات الخبيثة مباشرة في عقود إيثريوم الذكية. ويُعد هذا الاكتشاف تطورًا خطيرًا في هجمات سلسلة التوريد ضد بنية blockchain التحتية.

ضعف DeFi المتزايد: $3B الضرر في 2025

حجم التهديد مذهل. وفقًا لتحليلات blockchain من Global Ledger، نجح القراصنة في سرقة $3 مليار دولار عبر 119 حادثة منفصلة خلال النصف الأول من عام 2025—بزيادة قدرها 150% مقارنة بكامل عام 2024. يعكس الضرر مدى ترابط بروتوكولات DeFi التي أصبحت أهدافًا سهلة للهجمات المنسقة التي تستغل الثغرات المشتركة.

تؤكد حالة ملحوظة على هذا الخطر: في يوليو، اخترق المهاجمون عقد Rebalancer الخاص بـ Arcadia Finance على blockchain Base، مما أدى إلى سرقة 2.5 مليون دولار عبر التلاعب بمعلمات المبادلة. أظهرت هذه الحادثة أن حتى البروتوكولات المعروفة تواجه تعرضًا كبيرًا عندما توجد ثغرات أمنية.

حملة برمجيات NPM الخبيثة: كيف اكتشفت Zanki وReversingLabs الهجوم

كشفت تحقيقات الباحث في ReversingLabs، كارلو زانكي، في أوائل يوليو عن نمط مقلق. كان المهاجمون يخفون الشيفرات الخبيثة داخل حزم NPM تبدو شرعية، مع تحديد أخطر النسخ كـ colortoolsv2 و mimelib2، وكلاهما تم تحميله في يوليو.

تعمل هذه الحزم من خلال هيكل مكون من ملفين مصمم لتحقيق أقصى قدر من التمويه. المكون الرئيسي، وهو سكربت يسمى index.js، يحتوي على حمولة خبيثة مخفية تنشط بمجرد تثبيتها في مشروع المطور. ما يجعل هذه الحملة غير مسبوقة هو آلية التوصيل: لا تستخدم البرمجيات الخبيثة خوادم تحكم وسيطرة تقليدية، بل تستفيد من عقود إيثريوم الذكية لتخزين واسترجاع روابط لتحميل البرمجيات الخبيثة من المرحلة الثانوية.

يتيح هذا النهج تجاوز الفحوصات الأمنية التقليدية من خلال استغلال عدم قابلية التغيير والطبيعة الموزعة للبلوكشين كطبقة تشويش.

بوت سولانا المزيف: كيف خدعت الشرعية المزيفة المطورين

اكتشف الباحثون مستودع GitHub مخترق يحمل اسم solana-trading-bot-v2 يحتوي على حزمة colortoolsv2 الخبيثة. بدا المستودع موثوقًا به للمتابعين العاديين—حيث يضم آلاف الالتزامات، ومساهمين نشطين، وعدد كبير من النجوم—لكن كل مؤشر على الشرعية كان مصطنعًا.

أي مطور يقوم بتثبيت هذه الحزمة يمنح المهاجمين بشكل غير مدرك الوصول إلى محافظ المستخدمين، مما قد يؤدي إلى سرقة جميع الأموال المرتبطة. يجمع هذا الهجوم بين ثلاث طبقات من الخداع: مستودع مزيف-شرعي، وشيفرة خبيثة مشفرة، وتوصيل أوامر عبر blockchain.

لماذا أصبحت العقود الذكية بنية هجوم

يمثل الابتكار هنا تحولًا في منهجية المهاجمين. بدلاً من الاعتماد على بنية تحكم وسيطرة تقليدية معرضة للإيقاف، يستخدم المهاجمون الآن العقود الذكية على إيثريوم كمراكز توزيع برمجيات خبيثة دائمة ومقاومة للرقابة. تضمن الطبيعة اللامركزية للبلوكشين بقاء هذه المراكز التشغيلية بغض النظر عن تدخل السلطات.

وفقًا للرئيس التنفيذي لـ AMLBot، سلافا ديمتشوك، لا تزال ثغرات التحكم في الوصول وتصميم العقود الذكية هي الطرق الأساسية للهجمات. يعزز الهيكل القابل للتكوين لبروتوكولات DeFi الضرر، مما يسمح للمهاجمين بربط الثغرات عبر منصات متعددة في آن واحد.

حدث انقراض سلسلة التوريد الذي لا أحد مستعد له

السياق الأوسع أكثر إثارة للقلق: شهد عام 2025 انفجار حملات NPM. بالإضافة إلى colortoolsv2، وثق الباحثون حزم ethers-provider2 و ethers-providerz في مارس، تلاها العديد من برامج سرقة المعلومات، وأدوات التنزيل، وأدوات الإسقاط التي اكتُشفت على مدار العام.

كل نسخة جديدة من البرمجيات الخبيثة تظهر أن المهاجمين قد تحولوا من استهداف المستخدمين الأفراد إلى اختراق خط أنابيب التطوير نفسه. يمكن لحزمة خبيثة واحدة أن تتسلل إلى آلاف المشاريع، وتحول مستودعات المصدر المفتوح إلى قنوات توزيع.

ما يجب على المطورين فعله الآن

يشدد المدققون الأمنيون على إجراء خطوة حاسمة واحدة: قبل دمج أي مكتبة خارجية، يجب على المطورين إجراء تقييم شامل لأصول الحزمة، وتاريخ المساهمين، وأصالة الشيفرة. لقد انتهى عصر الاعتماد على المصدر المفتوح بشكل افتراضي.

تُظهر اكتشافات ReversingLabs أن العقود الذكية على إيثريوم—التي صُممت أصلاً كبنية تحتية غير موثوقة—أصبحت غير موثوقة بطريقة مختلفة تمامًا: حيث يستغلها المهاجمون كمراكز توزيع دائمة للبرمجيات الخبيثة، مع العلم أن عدم قابلية التغيير في blockchain يجعل إزالتها مستحيلة بمجرد نشرها.