ثغرة Node-IPC: برمجيات خبيثة تسرق بيانات المطورين السرية

كشف باحثون عن برمجيات خبيثة في إصدارات جديدة من حزمة Node-IPC، تهدف لسرقة أسرار المطورين وبيانات السحابة، مما يشكل تهديداً كبيراً للأمن الرقمي.

أطلق خبراء الأمن السيبراني صافرات الإنذار بشأن ما تم وصفه بأنه "نشاط ضار" في الإصدارات المنشورة حديثاً من مكتبة Node-IPC الشهيرة. ووفقاً لما تابعه فريق تيكبامين، فقد تم التأكد من أن ثلاثة إصدارات مختلفة من حزمة npm تحتوي على سلوكيات تجسسية وخلفية برمجية (Backdoor) تستهدف المطورين بشكل مباشر.

ما هي خطورة البرمجيات الخبيثة المكتشفة في Node-IPC؟

تشير التحليلات الأولية إلى أن الإصدارات التالية من الحزمة هي إصدارات ضارة ويجب تجنبها فوراً:

• إصدار Node-IPC 9.1.6
• إصدار Node-IPC 9.2.3
• إصدار Node-IPC 12.0.1

تقوم هذه البرمجيات الخبيثة بفحص بيئة المضيف، وقراءة الملفات المحلية، ثم ضغط البيانات المجمعة وتشفيرها قبل محاولة تهريبها عبر الشبكة إلى خادم تحكم خارجي. المثير للقلق هو أن هذا النشاط يبدأ بمجرد استدعاء الحزمة في وقت التشغيل (Runtime)، دون الحاجة لأي تدخل إضافي من المستخدم.

ما هي البيانات التي تستهدفها هذه الثغرة؟

تستهدف البرمجية الخبيثة مجموعة واسعة جداً من الأسرار البرمجية وبيانات الاعتماد السحابية. وبحسب تقرير تيكبامين، تشمل البيانات المستهدفة أكثر من 90 فئة، منها:

• بيانات اعتماد أمازون لخدمات الويب (AWS) وجوجل كلاود ومايكروسوفت أزور.
• مفاتيح التشفير SSH keys ورموز كوبرنيتيس (Kubernetes tokens).
• إعدادات تكوين واجهة سطر أوامر GitHub.
• إعدادات الذكاء الاصطناعي كلاود AI وبيئات التطوير مثل Kiro IDE.
• كلمات مرور قواعد البيانات وتاريخ أوامر الشل (Shell history).
• حالة ملفات Terraform الحساسة.

يتم بعد ذلك ضغط هذه البيانات في أرشيف من نوع GZIP وإرسالها إلى نطاق خارجي مشبوه يتبع لمزودي الخدمات السحابية، مما يصعب اكتشافها كنشاط غير مصرح به.

كيف تعمل البرمجية الخبيثة في إصدارات Node-IPC؟

الأمر اللافت للنظر في هذا النشاط هو أنه لا يعتمد على آليات npm التقليدية مثل نصوص التثبيت (preinstall أو postinstall). بدلاً من ذلك، قام المهاجمون بإلحاق الحمولة الضارة كدالة يتم استدعاؤها فوراً (IIFE) في نهاية ملف "node-ipc.cjs"، مما يضمن تشغيلها في كل مرة يتم فيها طلب المكتبة عبر الكود.

تفاصيل عملية الاختراق:

• تم نشر الإصدارات الضارة بواسطة حساب يحمل اسم "atiertant".
• لا توجد صلة معروفة لهذا الحساب بالمؤلف الأصلي للحزمة.
• تمت إضافة الحساب كمسؤول (Maintainer) بشكل غامض لنشر هذه الإصدارات.
• تستخدم البرمجية فحص بصمة SHA-256 للتأكد من أنها تعمل في البيئة المستهدفة قبل البدء في سرقة البيانات.

كيف تحمي نفسك من هذه التهديدات الأمنية؟

ينصح خبراء الأمن في تيكبامين المطورين بضرورة مراجعة سجلات الحزم المستخدمة في مشاريعهم فوراً. إذا كنت تستخدم أي من الإصدارات المصابة، يجب عليك التراجع إلى إصدارات آمنة وموثوقة أو البحث عن بدائل برمجية أخرى.

إن حقيقة تعرض حزمة ذات معدلات تحميل عالية للاختراق بعد فترة توقف طويلة تزيد عن 21 شهراً تشير إلى أن حسابات المسؤولين قد تكون تعرضت للاختراق، أو تم التلاعب بصلاحيات النشر. تذكر دائماً أن أمان سلاسل التوريد البرمجية هو خط الدفاع الأول لحماية بياناتك وبيانات عملائك في السحابة.