محفظة Ledger Nano S+ المزيفة تستنزف المحافظ عبر 20 سلسلة

باحث أمني مقره البرازيل يكشف عن عملية Ledger Nano S+ مزيفة تستخدم برامج ثابتة خبيثة وتطبيقات مزيفة لتفريغ المحافظ عبر 20 بلوكشين.

كشف باحث أمني مقره البرازيل عن واحدة من أكثر عمليات Ledger Nano S+ المزيف تطوراً على الإطلاق. الجهاز المزيف، الذي تم الحصول عليه من سوق صيني، يحمل برامج ثابتة خبيثة مخصصة وتطبيق مستنسخ. سرق المهاجم على الفور كل عبارة seed أدخلها المستخدمون.

اشترى الباحث الجهاز بسبب الاشتباه في عدم انتظام الأسعار. عند فتحه، كانت طبيعته المزيفة واضحة. بدلاً من التخلص منه، تبع ذلك تفكيك كامل.

ما كان مخفياً داخل الشريحة

يستخدم Ledger Nano S+ الأصلي شريحة ST33 Secure Element. كان هذا الجهاز يحتوي على ESP32-S3 بدلاً من ذلك. تم صنفرة علامات الشريحة فعلياً لمنع التعرف عليها. حددت البرامج الثابتة نفسها على أنها "Ledger Nano S+ V2.1" — وهو إصدار غير موجود.

وجد المحققون عبارات seed ورموز PIN مخزنة بنص عادي بعد إجراء تفريغ للذاكرة. أرسلت البرامج الثابتة إشارات إلى خادم قيادة وتحكم على kkkhhhnnn[.]com. تم تسريب أي عبارة seed تم إدخالها في هذا الجهاز على الفور.

يدعم الجهاز حوالي 20 بلوكشين لتفريغ المحفظة. هذه ليست عملية بسيطة.

خمسة متجهات هجوم، وليس واحداً

قام البائع بتجميع تطبيق "Ledger Live" معدل مع الجهاز. قام المطورون ببناء التطبيق باستخدام React Native باستخدام Hermes v96 ووقعوه بشهادة Android Debug. لم يكلف المهاجمون أنفسهم عناء الحصول على توقيع شرعي.

يتصل التطبيق بـ XState لاعتراض أوامر APDU. يستخدم طلبات XHR خفية لسحب البيانات بصمت. حدد المحققون خادمي قيادة وتحكم إضافيين: s6s7smdxyzbsd7d7nsrx[.]icu و ysknfr[.]cn.

هذا لا يقتصر على Android. توزع نفس العملية ملف .EXE لـ Windows وملف .DMG لـ macOS، يشبه الحملات التي تتبعها Moonlock تحت AMOS/JandiInstaller. يتداول أيضاً إصدار iOS TestFlight، متجاوزاً مراجعة App Store بالكامل — وهو تكتيك مرتبط سابقاً بعمليات احتيال CryptoRom. خمسة متجهات في المجموع: الأجهزة، Android، Windows، macOS، iOS.

التحقق الأصلي لا يمكن أن ينقذك هنا

يؤكد التوجيه الرسمي لـ Ledger أن الأجهزة الأصلية تحمل مفتاح تشفير سري تم تعيينه أثناء التصنيع. يتحقق Ledger Genuine Check في Ledger Wallet من هذا المفتاح في كل مرة يتصل فيها جهاز. وفقاً لـ وثائق دعم Ledger، يمكن فقط لجهاز أصلي اجتياز هذا الفحص.

المشكلة واضحة ومباشرة. يجعل الاختراق أثناء التصنيع أي فحص برمجي عديم الفائدة. تحاكي البرامج الثابتة الخبيثة ما يكفي من السلوك المتوقع لتجاوز الفحوصات الأساسية. أكد الباحث هذا مباشرة في التفكيك.

أظهرت هجمات سلسلة التوريد السابقة التي تستهدف مستخدمي Ledger بشكل متكرر أن التحقق على مستوى التعبئة وحده غير كافٍ. تسجل الحالات الموثقة على BitcoinTalk خسارة مستخدمين فرديين لأكثر من 200,000 دولار لمحافظ أجهزة مزيفة من منصات الطرف الثالث.

أين يتم بيع هذه الأجهزة

منصات الطرف الثالث هي قناة التوزيع الرئيسية. Amazon وبائعي الطرف الثالث وeBay وMercado Livre وJD وAliExpress جميعها لديها تاريخ موثق في إدراج محافظ أجهزة مخترقة، كما أشار الباحث في منشور Reddit على r/ledgerwallet.

نقطة السعر مشبوهة عمداً. هذا هو الطُعم. المصدر غير الرسمي لا يقدم Ledger بسعر مخفض كصفقة — بل يبيع منتجاً مخترقاً لصالح المهاجم.

القنوات الرسمية لـ Ledger هي موقع التجارة الإلكترونية الخاص بها على Ledger.com ومتاجر Amazon المعتمدة في 18 دولة. لا يوجد في أي مكان آخر أي ضمان للأصالة.

ما يفعله الباحث بعد ذلك

أعد الفريق تقريراً تقنياً شاملاً لفريق Donjon التابع لـ Ledger وبرنامج مكافآت التصيد الاحتيالي الخاص به، وسيصدر التقرير الكامل بعد أن تكمل Ledger تحليلها الداخلي.

أتاح الباحث IOCs لمتخصصي الأمن الآخرين من خلال الرسائل المباشرة. يمكن لأي شخص اشترى جهازاً من مصدر مشكوك فيه التواصل للحصول على مساعدة في التعرف عليه.

تظل الأعلام الحمراء الرئيسية بسيطة. عبارة seed مُنشأة مسبقاً مضمنة مع الجهاز هي عملية احتيال. الوثائق التي تطلب من المستخدمين كتابة عبارة seed في تطبيق المصادقة هي عملية احتيال. دمر الجهاز فوراً في كلتا الحالتين.

ظهر المنشور Counterfeit Ledger Nano S+ Drains Wallets Across 20 Chains لأول مرة على Live Bitcoin News.