حزم npm خبيثة تنتحل أدوات PostCSS لنشر RAT

حزم npm خبيثة جديدة تنتحل أدوات PostCSS لتثبيت RAT على ويندوز، ما يهدد المطورين بسرقة كلمات المرور والملفات وتنفيذ أوامر عن بُعد.

ما هي حزم npm الخبيثة التي تستهدف المطورين؟

كشف باحثون أمنيون عن مجموعة من حزم npm خبيثة نُشرت خلال الأسابيع الماضية، وتتنكر في صورة أدوات مرتبطة بمشروع PostCSS الشهير داخل بيئات تطوير الويب.

الخطورة هنا أن الأسماء تبدو قريبة من مكتبات موثوقة يستخدمها المطورون يومياً، ما يزيد احتمالات التثبيت بالخطأ داخل المشاريع أو بيئات العمل المحلية.

كيف ظهرت هذه الحزم؟

• نُشرت عبر حساب واحد على npm خلال الشهر الماضي.
• بعضها ادعى تقديم وظائف لتصغير محددات CSS أو معالجة selector parser.
• اعتمدت على مكتبات شرعية لإخفاء السلوك الضار ومنح الحزم مظهراً طبيعياً.

كيف تعمل هجمة حزم npm الخبيثة على ويندوز؟

بحسب ما رصدته تيكبامين، تبدأ سلسلة العدوى عبر ملف JavaScript مدمج داخل الحزمة، يقوم بإنشاء سكربت PowerShell باسم settings.ps1 ثم تشغيله مباشرة على الجهاز المصاب.

بعد ذلك، يتولى السكربت تنزيل حمولة إضافية من خادم خارجي باستخدام curl.exe. الملف الذي يتم جلبه يكون على هيئة أرشيف ZIP يحتوي على عدة مكونات تُشغّل الهجمة على مراحل.

• تنزيل ملف ZIP من خادم خارجي.
• استخراج ملف Visual Basic Script باسم update.vbs.
• تشغيل الملف عبر wscript.exe داخل ويندوز.
• تجهيز بيئة Python محلية لتشغيل الحمولة الأساسية.

ما الذي يفعله RAT بعد إصابة الجهاز؟

البرمجية الخبيثة النهائية هي RAT على ويندوز يمنح المهاجمين وصولاً عن بُعد إلى الجهاز المصاب، مع قدرات واسعة على جمع البيانات والتحكم.

وتعتمد هذه البرمجية على loader.py إضافة إلى وحدات Python مجمعة مسبقاً، ما يصعّب تحليلها بسرعة ويمنحها مرونة أكبر في تنفيذ الأوامر داخل النظام.

أبرز قدرات البرمجية

• جمع معلومات الجهاز والنظام.
• سرقة بيانات الاعتماد المخزنة في Google Chrome.
• استخراج بيانات من إضافات Chrome.
• تنفيذ أوامر shell عن بُعد.
• رفع الملفات وتنزيلها من خادم التحكم والسيطرة.

لماذا تُعد هذه الهجمة خطيرة على نظام npm؟

تكمن الخطورة في أن الحزم الضارة لا تتنكر كتطبيقات مجهولة، بل كأدوات تطوير تبدو منطقية داخل مشاريع CSS وPostCSS، وهذا أسلوب فعّال في هجمات سلاسل الإمداد البرمجية.

كما أن تشابه الأسماء مع مكتبات واسعة الانتشار قد يدفع المطور إلى تثبيت الحزمة دون تدقيق كافٍ، خصوصاً عند العمل السريع أو الاعتماد على الإكمال التلقائي في الطرفية.

كيف تحمي جهازك إذا ثبتّ حزم npm الخبيثة؟

إذا كنت قد ثبّت إحدى هذه الحزم، فالأولوية الآن هي حذفها فوراً، ثم فحص النظام بحثاً عن أي ملفات ناتجة عنها، خاصة سكربتات PowerShell وملفات VBS وبيئة Python غير المتوقعة.

• إزالة الحزمة من المشروع ومن ذاكرة npm المؤقتة.
• حذف الملفات التي أنشأتها على الجهاز.
• تغيير كلمات المرور المخزنة أو المستخدمة على جهاز المطور.
• مراجعة الاتصالات الخارجية والعمليات النشطة في ويندوز.

في النهاية، تؤكد هذه الحادثة أن حزم npm خبيثة لم تعد مجرد إزعاج عابر، بل تهديد مباشر للمطورين والشركات، وهو ما يدفع تيكبامين للتشديد على مراجعة التبعيات بدقة قبل تثبيتها.