دودة برمجية خبيثة تسرق بيانات المطورين عبر حزم npm

اكتشف خبراء الأمن الرقمي دودة برمجية خبيثة تستهدف المطورين عبر حزم npm وPyPI لسرقة الرموز السرية ومحافظ العملات الرقمية بطريقة ذكية ومقلقة.

كيف تعمل الدودة البرمجية الجديدة في حزم npm؟

رصد الباحثون في مجالي الأمن السيبراني حملة هجومية متطورة تُعرف باسم CanisterSprawl، والتي تعتمد على نشر دودة برمجية قادرة على التكاثر ذاتياً. وفقاً لما تابعه موقع تيكبامين، فإن هذه الدودة تستخدم تقنيات متقدمة لاختراق بيئات تطوير البرمجيات وسرقة البيانات الحساسة فور تثبيت الحزم المصابة.

• تبدأ العملية عند تثبيت حزمة npm تحتوي على كود خبيث.
• يتم تفعيل الهجوم عبر "خطافات ما بعد التثبيت" (postinstall hooks).
• تقوم الدودة بسرقة رموز الوصول (Tokens) الخاصة بالمطورين من الجهاز.
• تستخدم الرموز المسروقة لرفع إصدارات خبيثة من حزم أخرى يمتلكها المطور لزيادة الانتشار.

ما هي البيانات التي تسرقها حملة CanisterSprawl؟

لا تكتفي هذه الهجمات بسرقة بيانات البرمجة فقط، بل تمتد لتشمل معلومات شخصية ومالية حساسة جداً من جهاز الضحية. المهاجمون يركزون على جمع أكبر قدر من المعلومات لتوسيع نطاق سيطرتهم، وتشمل البيانات المستهدفة ما يلي:

• رموز الوصول السرية لمستودعات البرمجيات ونظام npm.
• بيانات الاعتماد المخزنة في متصفحات الويب المبنية على كروميوم (Chromium).
• معلومات تطبيقات ومحافظ العملات الرقمية المشفرة.
• المفاتيح السرية والملفات الحساسة الموجودة في بيئة التطوير المحلية.

البنية التحتية للهجوم الصامد

تستخدم هذه الحملة تقنية "ICP canisters" لتخزين وإرسال البيانات المسروقة. هذه التقنية تجعل من الصعب جداً على شركات الأمن الرقمي تتبع أو إغلاق الخوادم المضيفة للبيانات، مما يمنح المهاجمين قدرة غير مسبوقة على الصمود أمام محاولات الحظر التقليدية، وهو ما يجعل هذا التهديد خطيراً بشكل خاص.

هل تأثرت لغة برمجة بايثون PyPI بهذا الهجوم؟

نعم، امتد خطر هذه الدودة ليشمل النظام البيئي للغة بايثون (Python). أشار المحللون إلى أن البرمجيات الخبيثة تحتوي على منطق انتشار يستهدف مستودع PyPI الشهير. كما ذكر تقرير من تيكبامين، تم رصد إصدارات مخترقة من حزمة "xinference" الشهيرة (الإصدارات 2.6.0 و2.6.1 و2.6.2).

• تتضمن حزم بايثون المصابة حمولة مشفرة بصيغة Base64.
• تقوم الحمولة بتحميل وحدة تجميع ثانوية مسؤولة عن حصد الأسرار من النظام.
• تستهدف الدودة ملفات إعدادات بايثون لضمان العمل تلقائياً عند تشغيل اللغة.

استهداف أدوات كوبرنيتس

إضافة إلى ما سبق، تم رصد حزم خبيثة أخرى تتنكر في شكل أدوات لنظام كوبرنيتس (Kubernetes)، مثل "kube-health-tools" و"kube-node-health". تقوم هذه الحزم بتثبيت ملفات ثنائية بلغة "جو" (Go) لإنشاء خوادم بروكسي سرية على جهاز الضحية، مما يسمح للمهاجمين باستخدام الجهاز كجسر لهجمات أخرى أو كبوابة للذكاء الاصطناعي.

كيف تحمي نفسك من هجمات سلاسل التوريد البرمجية؟

تعتبر هجمات سلاسل التوريد من أخطر التهديدات الحالية لأنها تستغل الثقة في الأدوات البرمجية المعروفة. لحماية بيئتك البرمجية من مثل هذه الديدان الخبيثة، يوصي الخبراء باتباع الإجراءات التالية:

• التدقيق: فحص الحزم والتبعيات قبل تحميلها من مستودعات npm وPyPI.
• المصادقة: تفعيل ميزة التحقق بخطوتين (2FA) لجميع حسابات المطورين دون استثناء.
• الأدوات الأمنية: استخدام أدوات الفحص التلقائي لرصد السلوكيات المشبوهة في الأكواد.
• الصلاحيات: تجنب تثبيت الحزم بصلاحيات المسؤول (Root) لتقليل ضرر الاختراق المحتمل.

في الختام، يظهر هذا التهديد أن المطورين أصبحوا خط الدفاع الأول والأهم، مما يتطلب يقظة دائمة واتباع أفضل الممارسات الأمنية لضمان سلامة المشاريع البرمجية من الاختراقات المتطورة.