نُسخة مزورة من ليدجر نانو إس+ تسرق المحافظ عبر 20 سلسلة

باحث أمني مقيم في البرازيل يكشف عن عملية مزيفة لـ Ledger Nano S+ باستخدام برمجيات خبيثة وتطبيقات مزيفة لتفريغ المحافظ عبر 20 سلسلة كتل.

كشف باحث أمني مقيم في البرازيل عن واحدة من أكثر عمليات التزوير تعقيدًا لـ Ledger Nano S+ تم توثيقها على الإطلاق. الجهاز المزيف، الذي تم شراؤه من سوق صيني، كان يحمل برمجيات خبيثة مخصصة وتطبيقًا مقلدًا. قام المهاجم على الفور بسرقة كل عبارة مفتاح سرية أدخلها المستخدمون.

اشترى الباحث الجهاز بشبهة وجود تلاعب في السعر. وعند فتحه، كان من الواضح أنه مزيف. بدلاً من التخلص منه، تم إجراء تفكيك كامل له.

ما الذي كان مخفيًا داخل الشريحة

يستخدم جهاز Ledger Nano S+ الحقيقي شريحة عنصر أمان ST33. أما هذا الجهاز فكان يحتوي على ESP32-S3. تم كشط علامات الشريحة ماديًا لإخفاء الهوية. حددت البرمجية الثابتة نفسها على أنها “Ledger Nano S+ V2.1” — وهو إصدار غير موجود.

وجد المحققون أن المفاتيح السرية وأرقام التعريف الشخصية مخزنة كنص عادي بعد إجراء تفريغ للذاكرة. كانت البرمجية الثابتة تتصل بخادم قيادة وتحكم في kkkhhhnnn[.]com. أي عبارة مفتاح سرية يُدخلها المستخدم على هذا الجهاز كانت تُسرق على الفور.

يدعم الجهاز حوالي 20 سلسلة كتل لتفريغ المحافظ. وهذا ليس عملية بسيطة.

خمسة طرق هجوم، وليس واحدة

قام البائع بتجميع تطبيق “Ledger Live” معدل مع الجهاز. بنى المطورون التطبيق باستخدام React Native مع Hermes v96 ووقعوه بشهادة تصحيح أندرويد. لم يكلف المهاجمون أنفسهم عناء الحصول على توقيع شرعي.

يقوم التطبيق بالتداخل مع XState لاعتراض أوامر APDU. ويستخدم طلبات XHR خفية لسحب البيانات بصمت. حدد المحققون خادمين إضافيين للقيادة والتحكم: s6s7smdxyzbsd7d7nsrx[.]icu و ysknfr[.]cn.

وهذا لا يقتصر على أندرويد فقط. فالنفسية تنتشر أيضًا عبر ملف .EXE لنظام Windows وملف .DMG لنظام macOS، وتُشبه حملات تتبعها Moonlock تحت اسم AMOS/JandiInstaller. كما يتم تداول نسخة iOS عبر TestFlight، متجاوزة مراجعة متجر التطبيقات تمامًا — وهي أسلوب سبق ربطه بعمليات احتيال CryptoRom. إجمالي خمسة طرق هجوم: الأجهزة، أندرويد، ويندوز، macOS، iOS.

التحقق من الأصالة لا ينقذك هنا

تؤكد إرشادات Ledger الرسمية أن الأجهزة الأصلية تحمل مفتاح تشفير سري يتم تعيينه أثناء التصنيع. يتحقق فحص الأصالة في Ledger Wallet من هذا المفتاح في كل مرة يتصل فيها الجهاز. وفقًا لوثائق دعم Ledger، لا يمكن أن ينجح إلا جهاز أصلي في هذا الاختبار.

المشكلة بسيطة. تعطل عملية التحقق خلال التصنيع يجعل أي فحص برمجي غير فعال. البرمجية الخبيثة تقلد سلوكًا كافيًا لتجاوز الفحوصات الأساسية. أكد الباحث ذلك مباشرة خلال عملية التفكيك.

لقد أظهرت هجمات سلسلة التوريد السابقة التي استهدفت مستخدمي Ledger مرارًا وتكرارًا أن التحقق على مستوى التعبئة والتغليف وحده غير كافٍ. تسجل حالات موثقة على BitcoinTalk أن مستخدمين خسروا أكثر من 200,000 دولار بسبب محافظ أجهزة مزيفة من أسواق طرف ثالث.

أين تُباع هذه الأجهزة

تُعد الأسواق الخارجية قناة التوزيع الرئيسية. لدى بائعي أمازون من طرف ثالث، eBay، Mercado Livre، JD، وAliExpress سجل موثق لعرض محافظ أجهزة مخترقة، وفقًا لما لاحظه الباحث في منشور Reddit على r/ledgerwallet.

السعر مثير للشكوك عمدًا. هذا هو الإغراء. مصدر غير رسمي لا يقدم جهاز ليدجر مخفض كصفقة — بل يبيع منتجًا مخترقًا لصالح المهاجم.

القنوات الرسمية لـ Ledger هي موقعها الإلكتروني الخاص بالتجارة الإلكترونية على Ledger.com والمتاجر المعتمدة على أمازون في 18 دولة. ولا توجد أماكن أخرى تضمن الأصالة.

ما الذي يخطط الباحث للقيام به بعد ذلك

جهز الفريق تقريرًا تقنيًا شاملًا لفريق Donjon الخاص بـ Ledger وبرنامج مكافأة التصيد الاحتيالي، وسيتم نشر الشرح الكامل بعد أن يكمل Ledger تحليله الداخلي.

وفر الباحث أدوات الكشف عن التهديدات (IOCs) لمتخصصي الأمن الآخرين عبر الرسائل المباشرة. يمكن لأي شخص اشترى جهازًا من مصدر مشكوك فيه التواصل للمساعدة في التعرف عليه.

لا تزال العلامات الحمراء واضحة وبسيطة. عبارة المفتاح السري المولدة مسبقًا المرفقة مع الجهاز هي عملية احتيال. توثيق يطلب من المستخدمين كتابة عبارة المفتاح السري في تطبيق هو عملية احتيال. تخلص من الجهاز على الفور في كلتا الحالتين.