هجمات كورية شمالية تستخدم الذكاء الاصطناعي لسرقة العملات الرقمية

كشف خبراء الأمن الرقمي عن هجمات كورية شمالية تستخدم الذكاء الاصطناعي لنشر برمجيات خبيثة عبر حزم npm لسرقة العملات الرقمية، وفق ما تابعه فريق تيكبامين.

كيف تورط الذكاء الاصطناعي في هجمات كورية الشمالية؟

في تطور خطير يشهده مشهد الأمن الرقمي، تم اكتشاف كود برمج خبيث داخل حزمة npm شهيرة، حيث تمت إضافة هذه الحزمة كعنصر تبعية (Dependency) للمشروع بواسطة نموذج الذكاء الاصطناعي "كلود أوبوس" (Claude Opus) التابع لشركة "أنثروبيك".

الحزمة المعنية تحمل اسم "@validate-sdk/v2"، وهي مدرجة في مستودع npm كأداة تطوير برمجية (SDK) لعمليات التجزئة والتحقق والتشفير. ومع ذلك، فإن وظيفتها الحقيقية هي سرقة البيانات الحساسة والرموز السرية من بيئة التشغيل المخترقة. تشير التقارير التي حصلت عليها تيكبامين إلى أن هذه الحزمة تم برمجتها بأسلوب "vibe-coding" باستخدام تقنيات الذكاء الاصطناعي التوليدي.

ما هي تفاصيل حملة PromptMink الخبيثة؟

أطلق الباحثون اسم "PromptMink" على هذه الحملة، وربطوا نشاطها بمجموعة التهديد الكورية الشمالية المعروفة باسم "Famous Chollima" (أو Shifty Corsair). هذه المجموعة هي العقل المدبر وراء حملات احتيالية طويلة الأمد تستهدف العاملين في قطاع التكنولوجيا وسوق العملات الرقمية.

المخاطر التي تواجه مستخدمي Solana

تستهدف الهجمات بشكل خاص منظومة العملات الرقمية، حيث تتيح للمهاجمين الوصول إلى محافظ المستخدمين وأموالهم. إليكم قائمة بالحزم البرمجية المتورطة في هذه السلسلة:

• @validate-sdk/v2: الحزمة الأساسية التي تحتوي على الكود الخبيث.
• @solana-launchpad/sdk: حزمة وسيطة تستخدم الحزمة الخبيثة كعنصر تبعية.
• openpaw-graveyard: أداة توصف بأنها "وكيل ذكاء اصطناعي مستقل" يعمل على شبكة Solana.

تؤدي هذه الحزم إلى تنفيذ كود خبيث بمجرد دمجها في مشاريع تطوير البرمجيات، مما يمنح المهاجمين قدرة كاملة على تسريب بيانات الاعتماد الخاصة بمحافظ العملات الرقمية عبر بروتوكولات مثل Tapestry وBankr.

كيف تعمل تقنية الهجمات متعددة الطبقات؟

تعتمد هذه الهجمات استراتيجية ذكية للتخفي من برامج حماية الأمن الرقمي، حيث تنقسم العملية إلى طبقتين أساسيتين:

• الطبقة الأولى: حزم برمجية تبدو نظيفة تماماً ولا تحتوي على أي كود مشبوه، مما يسهل قبولها في المستودعات الرسمية.
• الطبقة الثانية: حزم يتم استيرادها بواسطة الطبقة الأولى، وهي التي تحتوي فعلياً على الوظائف التخريبية وسرقة البيانات.

في حال تم اكتشاف الطبقة الثانية وإزالتها من مستودع npm، يقوم المهاجمون باستبدالها بسرعة بحزم جديدة بأسماء مختلفة لضمان استمرار الحملة. وتدعي هذه الحزم تقديم وظائف متعلقة بتداول العملات الرقمية لجذب المطورين والضحايا المحتملين.

كيف تحمي مشروعك من البرمجيات الخبيثة؟

مع تطور أدوات الذكاء الاصطناعي، أصبح من السهل على المهاجمين إنشاء كود يبدو احترافياً ولكنه يخفي نوايا خبيثة. ينصح خبراء تيكبامين المطورين باتباع الإجراءات التالية:

• تدقيق جميع عناصر التبعية (Dependencies) التي تقترحها نماذج الذكاء الاصطناعي قبل دمجها.
• استخدام أدوات فحص الحزم البرمجية للبحث عن أي ثغرات أو أنماط مشبوهة.
• تجنب استخدام حزم npm حديثة الرفع أو التي لا تمتلك قاعدة مستخدمين موثوقة.
• تفعيل خاصية المصادقة الثنائية لجميع محافظ العملات الرقمية وحسابات التطوير.

تعد هذه الواقعة جرس إنذار حول كيفية استغلال القراصنة للنماذج اللغوية الكبيرة مثل "كلود أوبوس" لتسهيل عملياتهم، مما يفرض تحديات جديدة على مجتمع الأمن الرقمي في عام 2026.