دودة IronWorm تهاجم npm وتسرق أسرار المطورين

تتعرض منصة npm لسلسلة هجمات خبيثة عبر دودة IronWorm التي تسرق بيانات المطورين وأسرارهم البرمجية، مما يهدد أمن سلاسل التوريد البرمجية بشكل كبير.

ما هي دودة IronWorm وكيف تهدد المطورين؟

وفقاً لما تابعه فريق تيكبامين، تم رصد هجمات برمجية معقدة استهدفت نظام npm البيئي، حيث استخدم المهاجمون أكثر من 50 حزمة برمجية مشروعة تم تسميمها بإصدارات خبيثة. تهدف هذه الهجمات إلى توزيع برمجية لسرقة البيانات تعتمد على لغة "رست" (Rust) ودودة برمجية قادرة على الانتشار الذاتي.

تتميز دودة IronWorm بقدرات تقنية عالية، فهي تقوم بمسح كل "سر" أو مفتاح تشفير تجده على جهاز المطور، وتختبئ خلف روتكيت (Rootkit) من نوع eBPF داخل نواة النظام لتجنب الاكتشاف، بينما تتواصل مع مشغليها عبر شبكة "تور" (Tor) المجهولة لضمان عدم تتبع نشاطها.

ما هي البيانات التي تستهدفها هجمات npm الجديدة؟

تستهدف هذه البرمجية الخبيثة مجموعة واسعة من البيانات الحساسة التي قد تؤدي إلى اختراق مؤسسات كاملة. وحسب تقرير تيكبامين، تبحث الدودة عن 86 متغيراً من متغيرات البيئة والملفات المرتبطة بالخدمات التالية:

• مفاتيح الوصول لخدمات الذكاء الاصطناعي: أوبن إيه آي كودكس (OpenAI Codex)، وأنثروبيك (Anthropic)، وكلاود (Claude)، وجوجل جيمناي (Google Gemini).
• بيانات منصة التصحيح البرمجي Cursor.
• اعتمادات الدخول لخدمات أمازون لخدمات الويب (AWS).
• تكوينات الحاويات البرمجية Docker وكوبرنيتيس (Kubernetes).
• ملفات محفظة "إكسودوس" (Exodus) للعملات الرقمية.

ومن الغريب أن البرمجية تحتوي على منطق برمجي يتجنب سرقة بيانات محفظة المهاجم نفسه، وعلى الرغم من ذلك، لا تزال المحفظة المرصودة فارغة حتى الآن ولم تسجل أي معاملات مالية.

كيف تنتشر دودة IronWorm عبر جيت هاب؟

تستخدم IronWorm آلية انتشار ذكية عبر استغلال الحسابات المخترقة. تم تتبع النشاط الخبيث إلى حساب npm يسمى "asteroiddao"، والذي قام بنشر حزم برمجية تحتوي على ملفات تنفيذية يتم تشغيلها تلقائياً عند تثبيت الحزمة عبر برمجيات الخطاف (Preinstall hook).

انتحال شخصية الذكاء الاصطناعي

تتم عملية الانتشار عبر تنفيذ عمليات "التزام" (Commits) برمجية خبيثة في تسع منظمات مختلفة على منصة جيت هاب (GitHub). المثير للاهتمام هو استخدام اسم المؤلف "claude" وبريد إلكتروني يوحي بأنه تابع لشركة أنثروبيك، وذلك لخداع المطورين وإيهامهم بأن التحديثات صادرة عن بوت الدردشة الشهير.

• سرقة بيانات اعتماد المستخدمين لدفع كود خبيث للمستودعات.
• زرع البرمجيات الخبيثة في حزم أخرى لتصيب المطور التالي.
• التلاعب بمسارات العمل (Workflows) لجمع الأسرار البرمجية.

كيف يتم التلاعب ببيئات التطوير المستمر (CI)؟

لا تتوقف خطورة IronWorm عند أجهزة المطورين الشخصية، بل تمتد إلى بيئات التطوير المستمر. تقوم البرمجية باستبدال مسارات عمل "جيت هاب أكنشنز" (GitHub Actions) بمسارات أخرى قادرة على حصاد الأسرار وكتابتها في ملفات تبدو عادية، ثم رفعها كأدوات بناء (Artifacts)، مما يغني المهاجم عن الحاجة لخادم تحكم خارجي (C2) قد يتم كشفه.

كما تستغل البرمجية تدفق "النشر الموثوق" (Trusted Publishing) في npm داخل بيئات CI لضمان استمرار عملية الإصابة والانتشار دون تدخل بشري، مما يجعلها سلاحاً فتاكاً في هجمات سلاسل التوريد البرمجية التي يصعب تداركها بمجرد بدئها.

في الختام، يؤكد خبراء الأمن في تيكبامين على ضرورة مراجعة كافة الحزم البرمجية المستخدمة وتفعيل المصادقة الثنائية القوية لحماية حسابات المطورين من مثل هذه التهديدات المتطورة التي تستغل الثقة في الأدوات البرمجية المفتوحة المصدر.