حزم AsyncAPI المخترقة على npm أثارت إنذاراً أمنياً بعد استخدامها لنشر برمجية بوت نت متعددة المراحل، ما يهدد المطورين وسلاسل التوريد البرمجية.
ما قصة حزم AsyncAPI المخترقة على npm؟
كشفت تقارير أمنية عن رصد 4 حزم ضمن نطاق @asyncapi جرى العبث بها لتوزيع حمولة خبيثة تعمل على مراحل متتالية. الخطورة هنا لا تتعلق بملف ضار مباشر فقط، بل بأسلوب هجوم يستهدف بيئات التطوير نفسها.
وعند تحميل الوحدة المصابة داخل Node.js، يبدأ الكود المزروع في الخلفية بتنفيذ سلسلة تنزيل وتشغيل لبرمجية خبيثة إضافية. وبحسب ما رصدته تيكبامين، فإن هذا السلوك يجعل الاكتشاف أصعب مقارنة بهجمات تعتمد فقط على سكربتات التثبيت التقليدية.
كيف تعمل البرمجية الخبيثة داخل حزم npm المخترقة؟
الهجوم يبدأ بحمولة أولى مموهة ومشفرة، ثم ينتقل إلى مرحلة ثانية تُجلب من شبكة IPFS. بعد ذلك يتم إسقاط ملف JavaScript إضافي باسم sync.js في مسارات تختلف حسب نظام التشغيل، قبل تشغيله بصمت.
المراحل الأساسية للهجوم
- زرع ملف JavaScript خفي داخل الحزمة المصابة.
- فك التشفير وتحميل المرحلة الثانية من IPFS.
- تشغيل عملية Node.js منفصلة في الخلفية.
- كتابة الحمولة التالية في مسارات خاصة بويندوز وماك ولينكس.
- تنفيذ الأوامر لاحقاً عبر قنوات تحكم متعددة.
هذا التصميم يمنح المهاجمين مرونة كبيرة في الاستمرار حتى لو تم إيقاف إحدى القنوات، لأن البرمجية لا تعتمد على خادم واحد فقط للتحكم والسيطرة.
لماذا يعد Miasma Botnet تهديداً خطيراً للمطورين؟
الحمولة التالية ترتبط بإطار أوامر ضخم يضم مئات الوحدات البرمجية، ويدعم أكثر من قناة اتصال مع خوادم القيادة والتحكم. وهذا يعني أن البرمجية الخبيثة قادرة على استقبال تعليمات مشفرة، وإرسال النتائج، وتبديل طريقة التواصل إذا لزم الأمر.
- سرقة بيانات الاعتماد والرموز المميزة.
- الانتشار داخل الشبكات المحلية.
- تلويث أدوات الذكاء الاصطناعي والبيئات البرمجية.
- محاولات انتشار شبيهة بالديدان داخل npm وPyPI وCargo.
- إعداد آليات بقاء تلقائي بعد إعادة التشغيل.
كيف تحافظ البرمجية على بقائها وتتفادى الاكتشاف؟
تستخدم البرمجية وسائل استمرارية متعددة تشمل systemd وcrontab وlaunchd إضافة إلى مفاتيح التشغيل التلقائي في سجل ويندوز. هذا يعني أن إزالة الملف الأولي وحده قد لا تكون كافية إذا كانت آليات البقاء قد تم تفعيلها.
أساليب التمويه والمراوغة
- التحقق من وجود بيئات افتراضية أو صناديق رملية.
- تجنب بعض اللغات والإعدادات المحلية الحساسة.
- رصد أدوات الحماية الشائعة قبل التنفيذ الكامل.
- تفعيل آلية حذف للملفات عند إبطال رمز مسروق.
هذه المؤشرات توضح أن مطوري البرمجية استثمروا في التخفي والمرونة التشغيلية، وليس فقط في إصابة أكبر عدد ممكن من الأجهزة.
ماذا يجب أن يفعل المطورون الآن لحماية مشاريعهم؟
أول خطوة هي مراجعة الاعتمادات البرمجية فوراً والتحقق من أي إصدارات تم تثبيتها أخيراً من الحزم المتأثرة. كما يُنصح بتدقيق سجلات الشبكة والعمليات الخلفية داخل بيئات التطوير والخوادم.
- تحديث أو إزالة الحزم المشبوهة فوراً.
- تدوير كلمات المرور والرموز المميزة المخزنة محلياً.
- فحص مفاتيح التشغيل التلقائي والخدمات المجدولة.
- مراقبة الاتصالات الخارجة غير المعتادة.
- تفعيل سياسات صارمة لسلسلة التوريد البرمجية.
في النهاية، تؤكد حادثة حزم AsyncAPI المخترقة أن هجمات سلسلة التوريد لم تعد سيناريو نظرياً، بل تهديداً عملياً يستهدف المطورين يومياً. ولهذا ترى تيكبامين أن حماية بيئة البناء لم تعد أقل أهمية من حماية التطبيق نفسه.