برمجية خبيثة تسرق ملفات مستخدمي كلاود عبر سجل npm

اكتشف باحثون برمجية خبيثة على سجل npm تستهدف سرقة ملفات مستخدمي ذكاء كلاود الاصطناعي ورفعها إلى جيت هاب، مما يهدد خصوصية البيانات الحساسة بشكل مباشر.

كيف تعمل البرمجية الخبيثة mouse5212-super-formatter؟

تم اكتشاف حزمة برمجية جديدة على سجل npm تحمل اسم "mouse5212-super-formatter"، وهي مصممة لسرقة المعلومات الحساسة من أجهزة الضحايا الذين يستخدمون أدوات الذكاء الاصطناعي.

وفقاً لما تابعه فريق تيكبامين، فإن هذه البرمجية تستهدف بشكل خاص المجلدات التي تستخدمها أداة كلاود (Claude AI) لمعالجة البيانات في الخلفية، وقد أطلق عليها الباحثون اسم Malware-Slop نظراً لطريقة عملها.

آلية عمل البرمجية وسرقة البيانات

تتنكر البرمجية في شكل أداة داخلية لمزامنة الأرشيف ونشر المستودعات، لكنها في الحقيقة تقوم بسلسلة من العمليات التجسسية تشمل ما يلي:

• البحث عن رموز الوصول الخاصة بموقع جيت هاب (GitHub tokens) في بيئة المستخدم.
• إنشاء مستودع جديد على حساب المهاجم في حال عدم وجوده.
• رفع كافة الملفات الموجودة في مسارات معالجة بيانات كلاود بشكل متكرر وتلقائي.
• توليد سجلات وهمية لشبكات الاتصال لإيهام المستخدم بأنها ترسل بيانات تشخيصية فقط.

ما هي البيانات التي تستهدفها هذه الثغرة الأمنية؟

تركز البرمجية جهودها على مسار محدد هو "/mnt/user-data"، وهو الدليل الذي تخصصه شركة أنثروبيك لأداتها كلاود للتعامل مع الملفات التي يرفعها المستخدمون أو النتائج التي يتم توليدها.

تشير التقارير إلى أن الحزمة تم تحميلها حوالي 676 مرة، ورغم حذف حساب جيت هاب المرتبط بالهجوم، إلا أن الحزمة لا تزال متاحة للتحميل من سجل npm، مما يتطلب حذراً شديداً من المطورين.

هل يتم استخدام الذكاء الاصطناعي لتطوير برمجيات خبيثة؟

أحد الجوانب المثيرة للدهشة في هذه الحملة هو تسريب المهاجم لبيانات حساسة خاصة به، بما في ذلك رمز الوصول الشخصي لحسابه، مما يرجح استخدام الذكاء الاصطناعي في كتابة الكود البرمجي دون الالتزام بمعايير الأمان الأساسية (OPSEC).

وحسب تيكبامين، فإن انخفاض الحاجز المعرفي لإنشاء الأكواد البرمجية بفضل الذكاء الاصطناعي سيؤدي إلى ظهور المزيد من البرمجيات الخبيثة "الرديئة" التي تحاول تقليد مجموعات الاختراق المتقدمة للحصول على مكاسب سريعة.

كيف تحمي نفسك من البرمجيات الخبيثة على npm؟

لحماية بيئة التطوير الخاصة بك، ينصح خبراء الأمن الرقمي باتباع الإجراءات التالية:

• تجنب تثبيت حزم غير معروفة أو لم يتم التحقق من مصداقيتها.
• استخدام أدوات فحص الثغرات مثل npm audit بانتظام.
• عدم تخزين رموز الوصول (Tokens) في المتغيرات البيئية بشكل دائم دون تشفير.
• مراقبة أي نشاط غير معتاد لرفع الملفات إلى مستودعات خارجية.

في الختام، تظل اليقظة الرقمية هي خط الدفاع الأول ضد هذه التهديدات المتطورة التي تستغل شعبية أدوات الذكاء الاصطناعي لاختراق خصوصية المستخدمين وسرقة بياناتهم.