ظهور بوتات ضارة مرة أخرى في نظام Solana البيئي: ملف التعريف يخفي فخ تسرب المفتاح الخاص
مؤخراً، قام أحد المستخدمين باستخدام مشروع مفتوح المصدر يسمى pumpfun-pumpswap-sniper-copy-trading-bot، مما أدى إلى سرقة الأصول المشفرة. قامت فريق الأمان بتحليل متعمق لذلك.
التحليل الثابت
تحليل كشف أن الكود المشبوه موجود في ملف التكوين /src/common/config.rs، ويركز بشكل رئيسي داخل طريقة create_coingecko_proxy(). تقوم هذه الطريقة أولاً باستدعاء import_wallet() للحصول على المفتاح الخاص، ثم تقوم بفك تشفير عنوان URL الضار.
العنوان الحقيقي بعد فك التشفير هو:
ثم يقوم البرنامج الضار بإنشاء جسم طلب JSON، حيث يتم تضمين معلومات المفتاح الخاص فيه، ويتم إرساله عبر طلب POST إلى عنوان URL المذكور أعلاه. بغض النظر عن النتيجة التي قد تعيدها الخادم، سيستمر البرنامج الضار في العمل لتجنب إثارة انتباه المستخدم.
create_coingecko_proxy() الدالة تُستدعى عند بدء تشغيل التطبيق، وتقع في مرحلة تهيئة ملف التكوين لطريقة main() في main.rs.
تم تحديث المشروع على GitHub مؤخرًا في ( 17 يوليو 2025. تركزت التغييرات الرئيسية على ملف التكوين config.rs في دليل src. تم استبدال عنوان خادم المهاجمين HELIUS_PROXY) بالترميز الجديد.
لمراقبة عملية سرقة الأكواد الخبيثة بشكل مباشر، قام الباحثون بكتابة سكريبت Python لإنشاء أزواج المفاتيح العامة والخاصة الخاصة بـ Solana للاختبار، وقاموا بإنشاء خادم HTTP يستقبل طلبات POST.
استبدل ترميز عنوان خادم الاختبار بترميز عنوان الخادم الضار الذي أعده المهاجم، واستبدل المفتاح الخاص PRIVATE_KEY() في ملف .env بالمفتاح الخاص للاختبار.
بعد تشغيل الشيفرة الضارة، نجح خادم الاختبار في استقبال بيانات JSON المرسلة من المشروع الضار، والتي تحتوي على المفتاح الخاص( معلومات.
![تظهر بيئة Solana مرة أخرى بوتات خبيثة: ملف التكوين يحتوي على فخ لنقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
! [نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مصيدة نقل المفتاح الخاص المخفية])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![تظهر بيئة Solana مرة أخرى بوتات خبيثة: ملف التكوين يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![عودة بوتات خبيثة إلى نظام Solana البيئي: ملف التكوين يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
! [نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مصيدة المفاتيح الخاصة المخفية])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![ظهور بوتات خبيثة في نظام Solana البيئي: ملف الإعدادات يحتوي على فخ لنقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
![عودة بوتات خبيثة في نظام Solana البيئي: ملف الإعدادات يخفي فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
![ظهور بوتات خبيثة في نظام Solana البيئي: ملف التكوين يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
مؤشرات الاختراق ) IoCs (
رقم الملكية الفكرية: 103.35.189.28
اسم المجال: storebackend-qpq3.onrender.com
مستودع خبيث:
تم سرد مستودعات أخرى تستخدم أساليب تنفيذ مشابهة.
![بيئة Solana تعيد ظهور بوتات خبيثة: ملف التكوين يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
! [نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مخفي مصيدة نقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
ملخص
المهاجمون يتنكرون كمشاريع مفتوحة المصدر شرعية، ويخدعون المستخدمين لتحميل وتنفيذ الشيفرة الضارة. يقوم هذا المشروع بقراءة المعلومات الحساسة من ملف .env المحلي، ويرسل المفاتيح الخاصة المسروقة إلى الخادم الذي يتحكم فيه المهاجم.
ينبغي على المطورين والمستخدمين أن يكونوا حذرين للغاية بشأن مشاريع GitHub غير المعروفة، خاصة عندما يتعلق الأمر بمحافظ أو عمليات المفتاح الخاص. إذا كانت هناك حاجة لتشغيل أو تصحيح، يُنصح بالقيام بذلك في بيئة مستقلة وخالية من البيانات الحساسة، لتجنب تنفيذ برامج وأوامر خبيثة غير معروفة المصدر.
![ظهور بوتات خبيثة في نظام Solana البيئي: ملف التعريف يحتوي على فخ لتسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 9
أعجبني
9
7
مشاركة
تعليق
0/400
NFTDreamer
· منذ 18 س
又来坑حمقى فخ套路太熟了
شاهد النسخة الأصليةرد0
LiquidationWatcher
· منذ 18 س
لم أتوقع حقًا أن يكون هناك مثل هذه الفخاخ في sol
شاهد النسخة الأصليةرد0
AirdropHunterWang
· منذ 18 س
إذا كان الشخص غبياً، فعليه أن يتحمل العواقب. إذا تم استخدام فخ المفتاح الخاص، فلا مفر.
شاهد النسخة الأصليةرد0
BlockTalk
· منذ 18 س
又有人被solana يُستغل بغباء...
شاهد النسخة الأصليةرد0
EthMaximalist
· منذ 18 س
تس تس تم سرقة سلسلة سول بشكل يومي
شاهد النسخة الأصليةرد0
GovernancePretender
· منذ 18 س
تذكير يومي: حفرة أخرى، انتبهوا للسلامة مستثمر التجزئة
تظهر بيئة Solana مرة أخرى بوتات خبيثة، ومشاريع مفتوحة المصدر تخفي فخاخ لسرقة المفتاح الخاص.
ظهور بوتات ضارة مرة أخرى في نظام Solana البيئي: ملف التعريف يخفي فخ تسرب المفتاح الخاص
مؤخراً، قام أحد المستخدمين باستخدام مشروع مفتوح المصدر يسمى pumpfun-pumpswap-sniper-copy-trading-bot، مما أدى إلى سرقة الأصول المشفرة. قامت فريق الأمان بتحليل متعمق لذلك.
التحليل الثابت
تحليل كشف أن الكود المشبوه موجود في ملف التكوين /src/common/config.rs، ويركز بشكل رئيسي داخل طريقة create_coingecko_proxy(). تقوم هذه الطريقة أولاً باستدعاء import_wallet() للحصول على المفتاح الخاص، ثم تقوم بفك تشفير عنوان URL الضار.
العنوان الحقيقي بعد فك التشفير هو:
ثم يقوم البرنامج الضار بإنشاء جسم طلب JSON، حيث يتم تضمين معلومات المفتاح الخاص فيه، ويتم إرساله عبر طلب POST إلى عنوان URL المذكور أعلاه. بغض النظر عن النتيجة التي قد تعيدها الخادم، سيستمر البرنامج الضار في العمل لتجنب إثارة انتباه المستخدم.
create_coingecko_proxy() الدالة تُستدعى عند بدء تشغيل التطبيق، وتقع في مرحلة تهيئة ملف التكوين لطريقة main() في main.rs.
تم تحديث المشروع على GitHub مؤخرًا في ( 17 يوليو 2025. تركزت التغييرات الرئيسية على ملف التكوين config.rs في دليل src. تم استبدال عنوان خادم المهاجمين HELIUS_PROXY) بالترميز الجديد.
! نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مصيدة المفتاح الخاص المخفية
! نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مخفي مصيدة نقل المفتاح الخاص
! نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: مصائد المفاتيح الخاصة المخفية في ملفات التكوين
التحليل الديناميكي
لمراقبة عملية سرقة الأكواد الخبيثة بشكل مباشر، قام الباحثون بكتابة سكريبت Python لإنشاء أزواج المفاتيح العامة والخاصة الخاصة بـ Solana للاختبار، وقاموا بإنشاء خادم HTTP يستقبل طلبات POST.
استبدل ترميز عنوان خادم الاختبار بترميز عنوان الخادم الضار الذي أعده المهاجم، واستبدل المفتاح الخاص PRIVATE_KEY() في ملف .env بالمفتاح الخاص للاختبار.
بعد تشغيل الشيفرة الضارة، نجح خادم الاختبار في استقبال بيانات JSON المرسلة من المشروع الضار، والتي تحتوي على المفتاح الخاص( معلومات.
![تظهر بيئة Solana مرة أخرى بوتات خبيثة: ملف التكوين يحتوي على فخ لنقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![تكرار بيئة Solana من بوتات خبيثة: ملف الإعداد يخبئ فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
! [نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مصيدة نقل المفتاح الخاص المخفية])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![تظهر بيئة Solana مرة أخرى بوتات خبيثة: ملف التكوين يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![عودة بوتات خبيثة إلى نظام Solana البيئي: ملف التكوين يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
! [نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مصيدة المفاتيح الخاصة المخفية])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![ظهور بوتات خبيثة في نظام Solana البيئي: ملف الإعدادات يحتوي على فخ لنقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
![عودة بوتات خبيثة في نظام Solana البيئي: ملف الإعدادات يخفي فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
![ظهور بوتات خبيثة في نظام Solana البيئي: ملف التكوين يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
مؤشرات الاختراق ) IoCs (
رقم الملكية الفكرية: 103.35.189.28 اسم المجال: storebackend-qpq3.onrender.com
مستودع خبيث:
تم سرد مستودعات أخرى تستخدم أساليب تنفيذ مشابهة.
![بيئة Solana تعيد ظهور بوتات خبيثة: ملف التكوين يحتوي على فخ تسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
! [نظام Solana البيئي يعيد إنشاء الروبوتات الضارة: ملف التكوين مخفي مصيدة نقل المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
ملخص
المهاجمون يتنكرون كمشاريع مفتوحة المصدر شرعية، ويخدعون المستخدمين لتحميل وتنفيذ الشيفرة الضارة. يقوم هذا المشروع بقراءة المعلومات الحساسة من ملف .env المحلي، ويرسل المفاتيح الخاصة المسروقة إلى الخادم الذي يتحكم فيه المهاجم.
ينبغي على المطورين والمستخدمين أن يكونوا حذرين للغاية بشأن مشاريع GitHub غير المعروفة، خاصة عندما يتعلق الأمر بمحافظ أو عمليات المفتاح الخاص. إذا كانت هناك حاجة لتشغيل أو تصحيح، يُنصح بالقيام بذلك في بيئة مستقلة وخالية من البيانات الحساسة، لتجنب تنفيذ برامج وأوامر خبيثة غير معروفة المصدر.
![ظهور بوتات خبيثة في نظام Solana البيئي: ملف التعريف يحتوي على فخ لتسريب المفتاح الخاص])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(