19 حزمة npm خبيثة تسرق مفاتيح العملات الرقمية وأسرار CI/CD

كشفت أبحاث الأمن السيبراني عن حملةworm نشطة في سلسلة التوريد تستهدف حزم npm، حيث سرقت المطورين مفاتيح العملات الرقمية وأسرار CI/CD. أطلقت شركة Socket الأمنية اسم SANDWORM_MODE على هذه الحملة التي استخدمت 19 حزمة npm خبيثة على الأقل.

ما هي حزم npm الخبيثة وكيف تعمل؟

الحزم الخبيثة نُشرت عبر npm بواسطة ناشرين يحملان أسماء official334 و javaorg. تتضمن هذه الحزم قدرات على:

• استخراج معلومات النظام وأسرار البيئة
• سرقة مفاتيح API وتوكينات الوصول
• الانتشار التلقائي عبر هويات npm وGitHub المسروقة
• نقل البيانات المسروقة عبر GitHub API مع احتياطي DNS

حسب تيكبامين، فإن هذه الحملة تحمل سمات هجمات Shai-Hulud السابقة، لكنها تضيف ميزات خطيرة جديدة.

كيف تستهدف الهجمة مساعدي الذكاء الاصطناعي؟

تتضمن البرمجيات الخبيثة وحدة McpInject التي تستهدف مساعدي البرمجة بالذكاء الاصطناعي بشكل محدد. الوحدة تنشر خادم MCP خبيث وتحقنه في إعدادات الأدوات.

المساعدون المستهدفون:

• Claude Code و Claude Desktop
• Cursor و Windsurf
• Microsoft Visual Studio Code (VS Code) Continue

مزودو LLM المستهدفون:

• Anthropic و OpenAI
• Google و Grok
• Cohere و Mistral
• Fireworks AI و Replicate و Together

يسجل الخادم الخبيث ثلاثة أدوات تبدو بريئة، لكن كل أداة تضمن حقن prompt يقرأ محتويات ملفات حساسة مثل ~/.ssh/id_rsa و ~/.aws/credentials و .env.

ما هي ميزة GitHub Action الخبيثة؟

تتجاوز الحزم انتشار npm التقليدي من خلال تضمين GitHub Action مسلح يسرق أسرار CI/CD. تُنقل البيانات المسروقة عبر HTTPS مع احتياطي DNS.

ميزات إضافية خطيرة:

• روتين تدميري يعمل كkill switch بمسح دليل home
• انتشار SSH كاحتياطي
• ثبات قائم على hooks

ميزة المسح التدميري معطلة افتراضياً، لكنها تنشط إذا فقد البرنامج الوصول إلى GitHub وnpm.

هل تتضمن البرمجية محركاً متعدد الأشكال؟

نعم، تحتوي الحمولة على محرك متعدد الأشكال (polymorphic engine) يستدعي نسخة Ollama المحلية مع نموذج DeepSeek Coder. المحرك يقوم بـ:

• إعادة تسمية المتغيرات
• إعادة كتابة تدفق التحكم
• إدراج كود عشوائي (junk code)
• تشفير السلاسل النصية لتجنب الكشف

رغم أن المحرك معطل حالياً، إلا أن وجوده يشير إلى نية المهاجمين لإصدارات مستقبلية أكثر تطوراً.

كيف تحمي مشاريعك من هذه الهجمات؟

وفقاً لتقرير تيكبامين، يجب على المطورين اتخاذ احتياطات صارمة لحماية مشاريعهم:

• فحص جميع الحزم قبل التثبيت
• استخدام أدوات فحص سلسلة التوريد
• مراجعة الأذونات المطلوبة بحزم npm
• تفعيل المصادقة الثنائية على حسابات GitHub
• عدم تخزين أسرار API في ملفات .env
• مراقبة النشاط غير المعتاد في المستودعات

تتطور هجمات سلسلة التوريد بشكل مستمر، وهذه الحملة تظهر كيف يستهدف المهاجمون البيئة الحديثة للتطوير بما في ذلك أدوات الذكاء الاصطناعي.