إعادة ظهور بوتات خبيثة في نظام Solana البيئي: مخاطر تسريب المفتاح الخاص المخفي في ملف التكوين
في الآونة الأخيرة، تعرض بعض المستخدمين لسرقة أصولهم المشفرة بسبب استخدام مشروع مفتوح المصدر يسمى audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. وقد أجرت فرق الأمان تحليلاً عميقاً لذلك.
عملية التحليل
التحليل الثابت
من خلال التحليل الثابت، تم اكتشاف أن الشيفرة المشبوهة تقع في ملف التكوين /src/common/config.rs، وتركز بشكل رئيسي في دالة create_coingecko_proxy(). تستدعي هذه الدالة أولاً import_wallet() للحصول على معلومات المفتاح الخاص، ثم تقوم بفك تشفير عنوان URL الضار.
العنوان الحقيقي بعد فك التشفير هو:
سيقوم البرنامج الضار بتحويل معلومات المفتاح الخاص التي تم الحصول عليها إلى سلسلة Base58، وبناء جسم طلب JSON، وإرسالها إلى الخادم المشار إليه بواسطة عنوان URL المذكور من خلال طلب POST.
تُستدعى طريقة create_coingecko_proxy() عند بدء تشغيل التطبيق، وتقع في مرحلة تهيئة ملف التكوين لطريقة main() في main.rs.
تم تحديث المشروع مؤخرًا على GitHub، حيث تركزت التغييرات الرئيسية في ملف التكوين config.rs الموجود في دليل src، وقد تم استبدال عنوان الخادم الأصلي للمهاجم Helius_proxy( بعنوان ترميز جديد.
![تظهر بيئة Solana مرة أخرى بوتات ضارة: ملف الإعدادات يحتوي على فخ لنقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![تظهر مرة أخرى بوتات خبيثة في نظام Solana: ملف التكوين يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![تظهر بوتات خبيثة في نظام Solana البيئي: ملف الإعدادات يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![تظهر شبكة Solana مجددًا بوتات خبيثة: ملف الإعدادات يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![عودة بوتات خبيثة في نظام Solana: ملف الإعدادات يحتوي على فخ لنقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![عودة بوتات خبيثة في نظام Solana البيئي: ملف التعريف يخفي فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![تظهر بيئة Solana مرة أخرى بوتات خبيثة: ملف التعريف يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![تظهر Solana بيئة مليئة بالبوتات الضارة: تحتوي ملفات التكوين على فخ لتسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![تظهر بوتات خبيثة مرة أخرى في نظام Solana: ملف التكوين يخفي فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
! [نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: مصائد المفاتيح الخاصة المخفية في ملفات التكوين])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![تظهر بيئة Solana روبوتات خبيثة مرة أخرى: ملف التكوين يحتوي على فخ لنقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![ظهور بوتات خبيثة في نظام Solana البيئي: ملف تعريف يحتوي على فخ لتسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![ظهور بوتات خبيثة في نظام Solana البيئي: ملف التكوين يخفي فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![ظهور بوتات خبيثة في نظام Solana البيئي: ملف التكوين يحتوي على فخ لنقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
! [نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مصيدة المفاتيح الخاصة المخفية])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
) التحليل الديناميكي
كتب فريق البحث برنامج Python لإنشاء زوج مفاتيح عام وخاص للاختبار لـ Solana، وقاموا بإنشاء خادم HTTP يمكنه استقبال طلبات POST. تم استبدال عنوان خادم الاختبار المشفر بعنوان الخادم الضار الذي حدده المهاجم، وتم استبدال PRIVATE_KEY في ملف .env بالمفتاح الخاص للاختبار.
بعد تشغيل الشيفرة الضارة، نجح الخادم التجريبي في استلام بيانات JSON المرسلة من المشروع الضار، والتي تحتوي على المفتاح الخاص PRIVATE_KEY### (.
![ظهور روبوتات خبيثة في نظام Solana البيئي: ملف الإعداد يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
![ظهور بوتات خبيثة في نظام Solana البيئي: ملف التعريف يحتوي على فخ لتسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
![عودة بوتات خبيثة في نظام Solana البيئي: ملف التعريف يخبئ فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![تظهر في نظام Solana البيئي بوتات خبيثة: ملف التكوين يخفي فخ تسرب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
مؤشرات الاختراق ) IoCs (
رقم IP: 103.35.189.28
اسم النطاق: storebackend-qpq3.onrender.com
مستودع خبيث:
بالإضافة إلى ذلك، تم اكتشاف العديد من مستودعات GitHub التي تستخدم أساليب مشابهة.
![ظهور بوتات ضارة في نظام Solana البيئي: ملف التكوين يحتوي على فخ لنقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
ملخص
تستخدم هذه الطريقة الهجومية التظاهر بأنها مشروع مفتوح المصدر شرعي، لإغراء المستخدمين بتنزيل وتنفيذ الشفرات الخبيثة. سيقوم المشروع بقراءة المعلومات الحساسة من ملف .env المحلي، ونقل المفاتيح الخاصة المسروقة إلى الخادم الذي يتحكم فيه المهاجم.
يُنصح المطورون والمستخدمون بالتحلي باليقظة تجاه مشاريع GitHub غير المعروفة المصدر، خاصةً تلك التي تتعلق بمحافظ أو عمليات المفتاح الخاص. إذا كان من الضروري التشغيل أو التصحيح، يجب القيام بذلك في بيئة مستقلة وخالية من البيانات الحساسة، وتجنب تنفيذ البرامج والأوامر غير المعروفة المصدر.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 6
أعجبني
6
6
إعادة النشر
مشاركة
تعليق
0/400
WalletWhisperer
· منذ 2 س
مرة أخرى نرى احتيال المفتاح الخاص sigh
شاهد النسخة الأصليةرد0
ReverseFOMOguy
· 08-10 12:38
البلوكتشين حمقى ماتو بطرقة مؤسفة
شاهد النسخة الأصليةرد0
TokenDustCollector
· 08-10 12:29
البلوكتشين مرة أخرى تخرج قاتل مالي
شاهد النسخة الأصليةرد0
LiquidityOracle
· 08-10 12:26
لقد مر وقت طويل مرة أخرى مع تسرب المفتاح الخاص، متى ستنتهي هذه المشكلة؟
ظهور بوتات خبيثة في نظام Solana وزيادة مخاطر تسرب المفتاح الخاص
إعادة ظهور بوتات خبيثة في نظام Solana البيئي: مخاطر تسريب المفتاح الخاص المخفي في ملف التكوين
في الآونة الأخيرة، تعرض بعض المستخدمين لسرقة أصولهم المشفرة بسبب استخدام مشروع مفتوح المصدر يسمى audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. وقد أجرت فرق الأمان تحليلاً عميقاً لذلك.
عملية التحليل
التحليل الثابت
من خلال التحليل الثابت، تم اكتشاف أن الشيفرة المشبوهة تقع في ملف التكوين /src/common/config.rs، وتركز بشكل رئيسي في دالة create_coingecko_proxy(). تستدعي هذه الدالة أولاً import_wallet() للحصول على معلومات المفتاح الخاص، ثم تقوم بفك تشفير عنوان URL الضار.
العنوان الحقيقي بعد فك التشفير هو:
سيقوم البرنامج الضار بتحويل معلومات المفتاح الخاص التي تم الحصول عليها إلى سلسلة Base58، وبناء جسم طلب JSON، وإرسالها إلى الخادم المشار إليه بواسطة عنوان URL المذكور من خلال طلب POST.
تُستدعى طريقة create_coingecko_proxy() عند بدء تشغيل التطبيق، وتقع في مرحلة تهيئة ملف التكوين لطريقة main() في main.rs.
تم تحديث المشروع مؤخرًا على GitHub، حيث تركزت التغييرات الرئيسية في ملف التكوين config.rs الموجود في دليل src، وقد تم استبدال عنوان الخادم الأصلي للمهاجم Helius_proxy( بعنوان ترميز جديد.
![تظهر بيئة Solana مرة أخرى بوتات ضارة: ملف الإعدادات يحتوي على فخ لنقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![تظهر مرة أخرى بوتات خبيثة في نظام Solana: ملف التكوين يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![تظهر بوتات خبيثة في نظام Solana البيئي: ملف الإعدادات يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![تظهر شبكة Solana مجددًا بوتات خبيثة: ملف الإعدادات يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![عودة بوتات خبيثة في نظام Solana: ملف الإعدادات يحتوي على فخ لنقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![عودة بوتات خبيثة في نظام Solana البيئي: ملف التعريف يخفي فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![تظهر بيئة Solana مرة أخرى بوتات خبيثة: ملف التعريف يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![تظهر Solana بيئة مليئة بالبوتات الضارة: تحتوي ملفات التكوين على فخ لتسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![تظهر بوتات خبيثة مرة أخرى في نظام Solana: ملف التكوين يخفي فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
! [نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: مصائد المفاتيح الخاصة المخفية في ملفات التكوين])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![تظهر بيئة Solana روبوتات خبيثة مرة أخرى: ملف التكوين يحتوي على فخ لنقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![ظهور بوتات خبيثة في نظام Solana البيئي: ملف تعريف يحتوي على فخ لتسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![ظهور بوتات خبيثة في نظام Solana البيئي: ملف التكوين يخفي فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![ظهور بوتات خبيثة في نظام Solana البيئي: ملف التكوين يحتوي على فخ لنقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
! [نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مصيدة المفاتيح الخاصة المخفية])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
) التحليل الديناميكي
كتب فريق البحث برنامج Python لإنشاء زوج مفاتيح عام وخاص للاختبار لـ Solana، وقاموا بإنشاء خادم HTTP يمكنه استقبال طلبات POST. تم استبدال عنوان خادم الاختبار المشفر بعنوان الخادم الضار الذي حدده المهاجم، وتم استبدال PRIVATE_KEY في ملف .env بالمفتاح الخاص للاختبار.
بعد تشغيل الشيفرة الضارة، نجح الخادم التجريبي في استلام بيانات JSON المرسلة من المشروع الضار، والتي تحتوي على المفتاح الخاص PRIVATE_KEY### (.
![ظهور روبوتات خبيثة في نظام Solana البيئي: ملف الإعداد يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
![ظهور بوتات خبيثة في نظام Solana البيئي: ملف التعريف يحتوي على فخ لتسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
![عودة بوتات خبيثة في نظام Solana البيئي: ملف التعريف يخبئ فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![تظهر في نظام Solana البيئي بوتات خبيثة: ملف التكوين يخفي فخ تسرب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
مؤشرات الاختراق ) IoCs (
بالإضافة إلى ذلك، تم اكتشاف العديد من مستودعات GitHub التي تستخدم أساليب مشابهة.
![ظهور بوتات ضارة في نظام Solana البيئي: ملف التكوين يحتوي على فخ لنقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
ملخص
تستخدم هذه الطريقة الهجومية التظاهر بأنها مشروع مفتوح المصدر شرعي، لإغراء المستخدمين بتنزيل وتنفيذ الشفرات الخبيثة. سيقوم المشروع بقراءة المعلومات الحساسة من ملف .env المحلي، ونقل المفاتيح الخاصة المسروقة إلى الخادم الذي يتحكم فيه المهاجم.
يُنصح المطورون والمستخدمون بالتحلي باليقظة تجاه مشاريع GitHub غير المعروفة المصدر، خاصةً تلك التي تتعلق بمحافظ أو عمليات المفتاح الخاص. إذا كان من الضروري التشغيل أو التصحيح، يجب القيام بذلك في بيئة مستقلة وخالية من البيانات الحساسة، وتجنب تنفيذ البرامج والأوامر غير المعروفة المصدر.