كشفت التحقيقات الأمنية عن اكتشاف حزمة برمجية خبيثة جديدة تستهدف مطوري البرمجيات، تحمل اسم “evm-units” وتم نشرها عبر المستودعات مفتوحة المصدر. تسعى هذه الحزمة، التي تنتحل صفة أداة للتحقق من إصدارات آلة الإيثيريوم الافتراضية (EVM)، إلى اختراق الأنظمة بصمت وتنفيذ حمولات ضارة.
وقد نجحت الحزمة في جمع آلاف التنزيلات قبل إزالتها، مما يشير إلى انتشارها الواسع بين المطورين. وبينما كانت الواجهة الخارجية للحزمة تبدو شرعية، كانت تخفي بداخلها آلية معقدة لتحميل وتنفيذ تعليمات برمجية خبيثة دون علم المستخدم.
تكتيكات التخفي والتنفيذ
يعتمد الهجوم بشكل رئيسي على الدالة المسماة get_evm_version(). فبدلاً من تقديم رقم الإصدار المتوقع، تقوم هذه الدالة بفك تشفير سلسلة نصية مشفرة بصيغة Base64، للكشف عن عنوان URL لمركز قيادة وتحكم خارجي.
من جهة أخرى، تم تعزيز انتشار هذا الهجوم من خلال حزمة ثانية تسمى “uniswap-utils”. هذه الحزمة تعتمد بشكل مباشر على “evm-units”، مما يعني أن التعليمات البرمجية الخبيثة كانت تتنفذ تلقائياً عند تهيئة “uniswap-utils”. هذه الاستراتيجية الذكية في ربط التبعيات حولت أداة مساعدة تبدو بريئة إلى حصان طروادة.
منطق العدوى الخاص بنظام التشغيل
أظهر تحليل خبراء الأمن في Socket.dev أن البرمجية الخبيثة تم تصميمها بدقة لزيادة التخفي وتجنب الكشف. وأشاروا إلى أن تنفيذ الحمولة الخبيثة يتكيف بشكل كبير مع نظام تشغيل الضحية. وذلك من خلال استخدام ترويسات User-Agent محددة مثل linux، darwin، أو win32 لجلب الحمولة المتوافقة.
يتجلى مدى تعقيد البرمجية الخبيثة في دالتها الداخلية check(). تستخدم هذه الدالة سمات التجميع الشرطي في لغة Rust، مثل #[cfg(target_os)]، لتخصيص عملية التنفيذ.
بالنسبة لأنظمة Linux و macOS، يقوم الكود بتحميل سكريبت إلى المجلد المؤقت وتنفيذه باستخدام أمر nohup. يهدف هذا الإجراء إلى منع ظهور أي مخرجات مرئية، مما يضمن بقاء الضحية غافلاً عن الهجوم.
أما في نظام Windows، فتظهر العملية تعقيداً أعلى، حيث يقوم الكود بالبحث عن عملية qhsafetray.exe. هذه العملية مرتبطة ببرنامج مكافحة الفيروسات الصيني Qihoo 360.
في حال عدم وجود برنامج مكافحة الفيروسات، تقوم البرمجية الخبيثة بإنشاء سكريبت VBScript لتشغيل نافذة PowerShell مخفية. أما في حال وجود برنامج مكافحة الفيروسات، فإنها تتكيف عن طريق تنفيذ PowerShell مباشرة باستخدام علامات منع إنشاء النوافذ، وذلك لتجنب آليات الكشف الهيورستيكية، مما يدل على وعي المهاجمين بالأدوات الدفاعية.
وتشير هذه الاستهدافات الدقيقة إلى أن الجهات الفاعلة تسعى لسرقة بيانات اعتماد العملات المشفرة من المستخدمين، وخاصة في الأسواق الآسيوية. وبفضل استخدامهم لـ danger_accept_invalid_certs(true)، ضمن المهاجمون صمود بنيتهم التحتية، حيث سمحت لهم باستخدام شهادات موقعة ذاتياً بتجاوز التحقق القياسي لأمن الشبكات، مما صعّب جهود حظر النطاقات الخبيثة.