اكتشف باحثون أمنيون أربع حزم برمجية خبيثة على منصة npm تستهدف المطورين لسرقة بياناتهم الحساسة وشن هجمات DDoS، وفقاً لما تابعه فريق تيكبامين.
في تطور جديد ومقلق لأمن البرمجيات، تم تحديد مجموعة من الحزم الخبيثة المنشورة على مستودع npm الشهير. تم تصميم هذه الحزم لاستهداف بيئات التطوير وسرقة المعلومات الحساسة، بالإضافة إلى تحويل أجهزة الضحايا إلى جزء من شبكات الروبوت (Botnets).
ما هي حزم npm الخبيثة المكتشفة مؤخراً؟
وفقاً لتقرير تيكبامين، تم نشر أربع حزم برمجية بواسطة مستخدم واحد يحمل الاسم المستعار "deadcode09284814". وعلى الرغم من اختلاف الوظائف الخبيثة لكل حزمة، إلا أنها جميعاً تهدف إلى اختراق سلاسل التوريد البرمجية.
تشمل قائمة الحزم التي تم تحديدها ما يلي:
- chalk-tempalte: تحتوي على نسخة مستنسخة من دودة Shai-Hulud.
- axois-utils: مصممة لنشر برمجية Phantom Bot لهجمات DDoS.
- @deadcode09284814/axios-util: تستهدف سرقة مفاتيح SSH وبيانات الاعتماد.
- color-style-utils: تعمل كبرمجية لسرقة البيانات والعملات الرقمية.
كيف تشن برمجية Phantom Bot هجمات DDoS؟
كشف التحليل التقني أن الحزمة "axois-utils" تقوم بتثبيت برمجية خبيثة تعتمد على لغة جو (Golang) تُعرف باسم Phantom Bot. تتميز هذه البرمجية بقدرات متطورة لتعطيل المواقع المستهدفة عبر إغراقها بطلبات وهمية.
تمتلك برمجية Phantom Bot القدرات التالية:
- شن هجمات DDoS عبر بروتوكولات HTTP وTCP وUDP.
- تحقيق الاستمرارية على أنظمة ويندوز (Windows) ولينكس (Linux).
- إضافة الحمولة الخبيثة إلى مجلد بدء التشغيل في ويندوز.
- إنشاء مهام مجدولة لضمان تشغيل البرمجية تلقائياً.
ما خطورة برمجية Shai-Hulud على المطورين؟
تعتبر حزمة "chalk-tempalte" من أخطر الحزم المكتشفة، حيث تتضمن نسخة كاملة من كود دودة Shai-Hulud التي تم تسريبها مؤخراً. يقوم المهاجم باستخدام هذه الحزمة لسرقة بيانات الاعتماد وإرسالها إلى خوادم تحكم وسيطة.
تشمل البيانات التي يتم سرقتها وتصديرها:
- مفاتيح SSH الخاصة بالوصول إلى الخوادم.
- متغيرات البيئة (Environment Variables) الحساسة.
- بيانات اعتماد الحسابات السحابية.
- معلومات النظام وعناوين IP.
- بيانات محافظ العملات الرقمية المشفرة.
المثير للاهتمام هو أن المهاجم يستخدم توكنات جيت هاب (GitHub tokens) المسروقة لإنشاء مستودعات عامة جديدة ورفع البيانات المسروقة إليها تلقائياً، تحت وصف "A Mini Sha1-Hulud has Appeared".
كيف تحمي مشروعك من هجمات سلاسل التوريد؟
يحذر الخبراء من أن هذه الهجمات تعكس موجة قادمة من التهديدات التي تستهدف مستودعات الأكواد مفتوحة المصدر. ومن الضروري للمطورين توخي الحذر الشديد عند إضافة مكتبات برمجية جديدة لمشاريعهم.
خطوات وقائية عاجلة:
- إلغاء تثبيت الحزم المذكورة فوراً في حال تحميلها.
- فحص وحذف أي إعدادات مشبوهة في أدوات التطوير (IDEs).
- تغيير جميع كلمات المرور ومفاتيح الوصول التي قد تكون تعرضت للاختراق.
- تفعيل خاصية التحقق بخطوتين (2FA) على جميع الحسابات التقنية.
في الختام، تؤكد تيكبامين على ضرورة تدقيق أسماء الحزم البرمجية قبل تثبيتها، حيث يعتمد المهاجمون غالباً على تقنيات انتحال الأسماء (Typosquatting) لخداع المطورين غير الانتباهين، مما يجعل اكتشاف 4 حزم npm خبيثة تنشر برمجيات لسرقة البيانات أمراً يستدعي اليقظة الدائمة.
