في تطور أمني خطير، كشفت تحليلات حديثة عن حملة تجسس سيبراني متطورة للغاية، أُطلق عليها اسم “SeaFlower” (藏海花)، تستهدف مستخدمي محافظ العملات المشفرة الشهيرة في عالم Web3. تهدف الحملة إلى سرقة عبارات استعادة الوصول (seed phrases) وتفريغ أموال الضحايا من خلال زرع أبواب خلفية خفية في نسخ مقلدة من التطبيقات الشرعية.
تُعتبر هذه الحملة من أكثر التهديدات تقدماً تقنياً على مستخدمي Web3، حيث أظهر المهاجمون مهارات عالية في الهندسة العكسية، وتعديل التطبيقات، والنشر الآلي، والتسلل الخفي لاستخراج البيانات. وتستهدف الحملة محافظ Coinbase Wallet، MetaMask، TokenPocket، و imToken على نظامي iOS و Android.
حملة SeaFlower تستهدف محافظ Web3 لسرقة العبارات الرئيسية
تتميز التطبيقات المعدلة من قبل حملة SeaFlower بأنها نسخ طبق الأصل من نظيراتها الأصلية. الواجهة الرسومية، ووظائف المحفظة، وتجربة المستخدم تظل دون تغيير، مما يجعل من الصعب على حتى المستخدمين ذوي الخبرة اكتشاف أي شيء مريب أثناء أداء معاملاتهم المعتادة.
وقد حدد محللو شركة Confiant هذه الحملة كشبهة جديدة وفريدة، حيث ربطوها بجهات فاعلة معادية تتحدث باللغة الصينية. وتشير الأدلة، مثل تعليقات شفرة المصدر المكتوبة باللغة الصينية، وأسماء مستخدمين لمطوري macOS تم تسريبها وتتصل بأسماء صينية، إلى المصدر المرجح لهذه الهجمات.
تم تتبع البنية التحتية المرتبطة بالحملة إلى مساحات عناوين IP في الصين وهونغ كونغ، مع استخدام نطاقات مسجلة تحت .cn وخدمات CDN من Alibaba لتوصيل المحتوى. اسم الحملة نفسه مستمد من تحليل معمق، حيث تم العثور على اسم مستخدم macOS مسرب، “Zhang Haike”، ضمن ملفات .dylib المحقونة.
طرق الانتشار وتقنيات الخداع
كانت نقطة الدخول لمعظم الضحايا تبدأ عبر محركات البحث الصينية. عند بحث المستخدمين عن عبارات مثل “تنزيل metamask iOS”، كانت النتائج التي تعرضها محركات مثل Baidu، و Sogou، و 360 Search، و Shenma، تعيد توجيه المستخدمين إلى مواقع ويب وهمية تديرها حملة SeaFlower.
هذه المواقع المقلدة كانت لا يمكن تمييزها بصرياً عن صفحات تنزيل المحافظ الرسمية، مع تقييمات وهمية وعدد تنزيلات مزيف، مما يخدع المستخدمين لتثبيت تطبيقات مصابة. ويُعد استخدام هذه التقنيات المتطورة لحملة SeaFlower تطوراً مقلقاً في مشهد التهديدات السيبرانية.
آلية عمل الباب الخلفي: حمولة خفية داخل التطبيق
بمجرد قيام المستخدم بتثبيت محفظة معدلة بواسطة SeaFlower، يبدأ الرمز الخبيث في العمل بصمت في الخلفية. على نظام iOS، يبدأ الإصابة بتنزيل ملف تعريف توفير (provisioning profile) يتم دفعه من الموقع الوهمي، مما يسمح للتطبيق المصاب بالعمل خارج متجر تطبيقات Apple.
داخل محفظة MetaMask لنظام iOS، اكتشف الباحثون ملفين .dylib تم حقنهما داخل الملف الثنائي Mach-O المجمع. استخدم المكتبة الخبيثة الرئيسية أدوات تعديل iOS مثل Cydia Substrate، و Cycript، و MonkeyDev للتفاعل مع وقت تشغيل التطبيق دون إطلاق أي تنبيه مرئي.
تعترض الباب الخلفي وظيفة iOS الأساسية: dataWithContentsOfFile:options:error في اللحظة التي يقرأ فيها MetaMask حزمة JavaScript الرئيسية الخاصة به. هذه التقنية المستترة تضمن بقاء التعديل خفياً.
ضمن المكتبة المحقونة، تم اكتشاف فئة مشفرة باسم FKKKSDFDFFADS، والتي احتوت على شفرة باب خلفي مشفرة بـ RSA. بعد فك التشفير في وقت التشغيل، كشفت عن وظيفة startupload() التي كانت تقوم بإرسال عبارة استعادة الوصول الخاصة بالضحية، وعنوان المحفظة، والرصيد بصمت إلى نطاق يتحكم فيه المهاجم عبر HTTPS.
على نظام Android، كان النهج أبسط ولكنه فعال بنفس القدر. بالنسبة لملف APK الخاص بمحفظة Coinbase Wallet، قام المهاجمون بحقن شفرة smali خبيثة من خلال فئة تسمى XMPMetadata، والتي كانت تقوم بتشغيل طلب HTTP POST بمجرد حفظ عبارة استعادة الوصول في التخزين.
تم إخفاء نطاق القيادة والتحكم (C2) بشكل إضافي عن طريق تشفير Base64، والذي كان يحل إلى https://colnbase[.]homes/u/sms/. وتؤكد هذه التفاصيل مدى تعقيد حملة SeaFlower.
توصيات للحماية
للحماية من هذه التهديدات، يُنصح بشدة باتباع الإجراءات التالية: تنزيل تطبيقات المحافظ حصرياً من متاجر التطبيقات الرسمية (Apple App Store أو Google Play Store). عدم الموافقة أبداً على أي ملفات تعريف توفير غير معروفة على iPhone. ويتعين على مطوري Web3 تنفيذ آليات اكتشاف شاملة مثل اكتشاف الخطافات المضمنة، واكتشاف المكتبات المحقونة، والدفاعات ضد التلاعب لزيادة صعوبة الاختراق.
من المهم أيضاً مراقبة حركة مرور الشبكة الصادرة من تطبيقات المحافظ بحثاً عن أي نطاقات غير متوقعة، والتحقق من تجزئة SHA-256 لملفات التطبيقات التي تم تنزيلها للتأكد من سلامتها قبل التثبيت. إن اليقظة واتباع أفضل الممارسات الأمنية هما خط الدفاع الأول ضد مثل هذه الهجمات المتطورة.